Embed Size (px)
Citation preview
Bayerisches Staatsministerium des Innern und für Integration
www.innenminister ium.bayern.de
Arbeitshilfen
zur praktischen Umsetzung der
Datenschutz-Grundverordnung,
der Richtlinie (EU) 2016/680
(Richtlinie zum Datenschutz bei Poli-
zei und Justiz) und des neuen
Bayerischen Datenschutzgesetzes
für bayerische öffentliche Stellen
Stand: Mai 2018
2
Inhalt
1. Vorwort 5
2. Einführung 7
2.1 Die Datenschutzreform der Europäischen Union 7
2.2 Der Anwendungsbereich der DSGVO 8
2.3 Das neue Bayerische Datenschutzgesetz (BayDSG) 8
2.4 Schwerpunkt der Änderungen 9
Neue zentrale Rolle des Verantwortlichen nach der Datenschutz-2.4.1
Grundverordnung 9
Neue datenschutzrechtliche Begriffe 10 2.4.2
Zulässigkeit der Verarbeitung personenbezogener Daten 11 2.4.3
Umfangreiche Verfahrensänderungen 11 2.4.4
Aufgaben und Stellung des behördlichen Datenschutzbeauftragten 13 2.4.5
2.5 Wie gehe ich künftig vor, um die richtige Rechtsgrundlage für die Lösung einer
datenschutzrechtlichen Frage zu finden? 14
2.6 Welche praktischen Anpassungsaufgaben sind vordringlich? 14
Zuständigkeiten für die am Datenschutz Beteiligten neu festlegen 14 2.6.1
Den Bestand an Verarbeitungen erfassen 14 2.6.2
Aufgaben und Stellung des behördlichen Datenschutzbeauftragten festlegen 15 2.6.3
3. Maßnahmenplan für den Verantwortlichen zur Umsetzun g der DSGVO 16
4. Datenschutz-Geschäftsordnung 19
4.1 Muster einer Datenschutz-Geschäftsordnung 21
4.2 Erläuterungen zur Datenschutz-Geschäftsordnung 31
4.3 Anlage 1 (zu § 2) 39
4.4 Anlage 2 (zu § 6) 40
5. Das Verzeichnis der Verarbeitungstätigkeiten 44
5.1 Welche öffentlichen Stellen müssen ein Verarbeitungsverzeichnis führen? 45
3
5.2 Weiterverwendung vorhandener Verfahrensverzeichnisse 45
5.3 Keine Veröffentlichungspflicht, kein Recht auf Einsichtnahme 45
5.4 Muster einer Beschreibung einer Verarbeitungstätigkeit nach Art. 30 Abs. 1 DSGVO
und Art. 31 BayDSG 47
5.5 Erläuterungen zum Muster 49
6. Die Informationspflichten des Verantwortlichen nach Art. 13 und 14 DSGVO 55
6.1 Allgemeines zu den Informationspflichten 55
6.2 In welchen Fällen besteht eine Informationspflicht? 55
6.3 Wann muss die Information erfolgen (Art. 13 Abs. 1 und Abs. 3, Art. 14 Abs. 3 und
Abs. 4 DSGVO)? 56
6.4 Informationspflicht bei einer Videoüberwachung 57
6.5 1. Fallgruppe: Informationspflicht bei einer Erhebung bei der betroffenen Person 57
Liegt ein Fall des Art. 13 DSGVO vor? 57 6.5.1
Besteht eine Ausnahme von der Informationspflicht 58 6.5.2
Form und Inhalt der Information 59 6.5.3
6.6 2. Fallgruppe: Informationspflicht bei einer Erhebung nicht bei der betroffenen
Person 62
Liegt eine Erhebung nach Art. 14 DSGVO vor? 62 6.6.1
Ausnahmen von der Informationspflicht 63 6.6.2
Form und Inhalt 64 6.6.3
6.7 3. Fallgruppe: Informationspflicht bei einer Zweckänderung 64
Zweckänderung innerhalb der öffentlichen Stelle, die die Daten bei der 6.7.1
betroffenen Person erhoben hat 65
Zweckänderung innerhalb der öffentlichen Stelle, die Daten nicht bei der 6.7.2
betroffenen Person erhoben hat 65
Keine Informationspflicht bei Übermittlung von Daten an eine andere öffentliche 6.7.3
Stelle auf deren Ersuchen 65
6.8 Mustertext 1: Informationspflichten bei einer Erhebung von Daten bei der
betroffenen Person Art. 13 DSGVO 67
4
6.9 Mustertext 2: Informationspflichten bei einer Erhebung von Daten nicht bei der
betroffenen Person, Art. 14 DSGVO 73
7. Auftragsverarbeitung 75
8. Datenschutz-Folgenabschätzung und Risikobewertung n ach der DSGVO 76
9. Muster einer Zweckvereinbarung für einen gemeinsame n behördlichen
Datenschutzbeauftragten 77
10. Mitwirkende 78
5
1. Vorwort
Ab dem 25. Mai 2018 ist die von der Europäischen Union erlassene Datenschutz-
Grundverordnung (DSGVO) für die bayerischen Behörden unmittelbar anzuwenden. Zum
gleichen Zeitpunkt ist auch die Richtlinie (EU) 2016/680 der Europäischen Union (Richtlinie
zum Datenschutz bei Polizei und Justiz) in das Recht der Mitgliedstaaten umzusetzen.
Das Datenschutzrecht des Bundes und Bayerns ist an die beiden Rechtakte der EU anzu-
passen. Der Bund hat bereits ein neues Bundesdatenschutzgesetz (BDSG) erlassen, in
Bayern hat die Staatsregierung einen Gesetzentwurf zur Neufassung des Bayerischen Da-
tenschutzgesetzes (BayDSG) und zur Änderung anderer Gesetze dem Bayerischen Landtag
zugeleitet.
Ab dem 25. Mai 2018 führt dies zu einer neuen Struktur des Datenschutzrechts. Ergänzend
zur Datenschutz-Grundverordnung als direkt anwendbares Recht haben die bayerischen
Behörden künftig das neu gefasste BayDSG und – je nach Verwaltungsbereich – weiterhin
auch datenschutzrechtliche Fachvorschriften zu beachten. Trotz der Strukturveränderungen
bleiben die wesentliche materiellen Kernelemente und damit viele bekannte und handhabba-
re Regelungen wie z.B. zur Zweckbindung und Datenübermittlung erhalten. Gleichwohl
bringt die Datenschutz-Grundverordnung dennoch Verfahrensänderungen mit sich, die in die
Organisationsstrukturen und Verwaltungsabläufe öffentlicher Stellen einzupassen bleiben.
Die Datenschutz-Grundverordnung richtet sich damit nicht nur an den behördlichen Daten-
schutzbeauftragten als dem zentralen Datenschutzexperten vieler Organisationseinheiten,
sie erfordert ein umfassendes Zusammenspiel von Organisationsverantwortlichen, IT-
Beauftragten und Fachabteilungen.
Die vorliegenden Arbeitshilfen sollen den Anpassungsaufwand der Datenschutzpraxis unter
Ausschöpfung der Interpretationsspieleräume des neuen europäischen Datenschutzrechts
begrenzen und dazu nach Möglichkeit, insbesondere soweit nicht technische oder gesetzli-
che Änderungen eintreten, auf einmalige Maßnahmen beschränken. Sie wurden mit Unter-
stützung einer Arbeitsgruppe aus Vertretern der staatlichen und kommunalen Datenschutz-
praxis und unter der Beteiligung des Bayerischen Landesbeauftragten für den Datenschutz
und der Kommunalen Spitzenverbände erstellt.
6
Wegen der Vielzahl der mit einer grundlegenden Rechtsreform unvermeidbar verbundenen
Fragestellungen werden die Arbeitshilfen kontinuierlich überprüft und bei Bedarf fortge-
schrieben. Dies gilt insbesondere für Regelungen zur Auftragsverarbeitung und zur kommu-
nalen Zusammenarbeit. Für den Bereich der Bayerischen Polizei werden zeitnah gesonderte
Hilfestellungen bereitgestellt.
Weitere aktuelle Informationen können auch der Internetseite des Landesbeauftragten für
den Datenschutz unter www.datenschutz-bayern.de entnommen werden.
7
2. Einführung
2.1 Die Datenschutzreform der Europäischen Union
Seit dem 25. Mai 2018 ist die DSGVO in den bayerischen Behörden und sonstigen öffentli-
chen Stellen anzuwenden. Als europäische Verordnung ist die DSGVO unmittelbar gelten-
des Recht. Entgegenstehende Regelungen der Mitgliedsländer sind seit diesem Zeitpunkt
nicht mehr anzuwenden.
Das Datenschutzrecht im Bund und in Bayern ist an die DSGVO anzupassen. Der Bund hat
ein neues Bundesdatenschutzgesetz (BDSG 2018) und weitere Änderungen datenschutz-
rechtlicher Vorschriften verabschiedet, z.B. auch eine Neufassung der Datenschutzvorschrif-
ten in der Abgabenordnung und im Ersten und Zehnten Buch Sozialgesetzbuch. Der Bayeri-
sche Landtag hat am 15.Mai 2018 ein neues Bayerisches Datenschutzgesetz verabschiedet
(im Folgenden als BayDSG bezeichnet), das am 25. Mai 2018 in Kraft getreten ist.1
Trotz ihrer unmittelbaren Geltung als EU-Verordnung lässt die DSGVO für die nationalen
Gesetzgeber besonders im öffentlichen Bereich über sogenannte „Öffnungsklauseln“ bzw.
Regelungsermächtigungen noch Regelungsspielräume für Konkretisierungen der DSGVO.
Von diesem verbleibenden Regelungsspielraum für den Landesgesetzgeber hat die Staats-
regierung im Interesse einer effektiven Verwaltung im BayDSG umfangreich Gebrauch ge-
macht und bewährte Grundfunktionen und Strukturen des geltenden Datenschutzrechts be-
wahrt.
Bis zum 25. Mai 2018 war auch die zusammen mit der DSGVO verabschiedete Richtlinie
zum Datenschutz bei Polizei und Justiz von den Mitgliedstaaten der Europäischen Union in
nationales Recht umzusetzen. Anders als die DSGVO ist diese Richtlinie nicht unmittelbar
anwendbar, sondern muss zuvor vom Gesetzgeber in Bundes- oder Landesrecht umgesetzt
werden.
1 GVBl. S. 230.
8
2.2 Der Anwendungsbereich der DSGVO
Der Anwendungsbereich der DSGVO und der Richtlinie zum Datenschutz bei Polizei und
Justiz schließen sich gegenseitig aus:
� Die DSGVO gilt unmittelbar für alle öffentlichen Stellen, soweit diese keine Tätigkeit im
Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz ausüben.
� Die Richtlinie zum Datenschutz bei Polizei und Justiz gilt für die Verarbeitung personen-
bezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder
Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und
der Abwehr von Gefahren für die öffentliche Sicherheit. Betroffen sind vor allem die Poli-
zei, die Gerichte in Strafsachen und die Staatsanwaltschaften, die Strafvollstreckungs-
und Justizvollzugsbehörden und die Behörden des Maßregelvollzugs.
2.3 Das neue Bayerische Datenschutzgesetz (BayDSG)
Zur Anpassung an die DSGVO und der Umsetzung der Richtlinie für den Datenschutz bei
Polizei und Justiz ist eine Neufassung des Bayerischen Datenschutzgesetzes erforderlich,
die das geltende BayDSG ersetzen wird.
Das BayDSG gilt für die Behörden und sonstigen öffentlichen Stellen des Freistaates Bay-
ern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates
Bayern unterstehenden juristischen Personen des öffentlichen Rechts (Art. 1 Abs. 1
BayDSG).
Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst,
ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen – ergän-
zend zu den Vorschriften der DSGVO also insbesondere die Vorschriften des BDSG 2018.
Die Zuständigkeit des Landesbeauftragten für den Datenschutz für die Aufsicht bleibt hiervon
unberührt (Art. 1 Abs. 3 BayDSG).
Keine Wettbewerbsunternehmen in diesem Sinne sind die Einrichtungen der Kinderbe-
treuung, Schulen und Hochschulen.
Wesentliche Regelungen des BayDSG
� Der Gesetzentwurf enthält die Anpassung des BayDSG und 23 weiterer Gesetze an die
DSGVO.
� Mit Art. 28 bis 37 BayDSG werden allgemeine und organisationsrechtliche Anforderun-
gen der Richtlinie zum Datenschutz bei Polizei und Justiz in das bayerische Landesrecht
umgesetzt. Nach Art. 2 und Art. 28 Abs. 2 und 3 BayDSG wird auch in diesem Bereich
9
weitgehend auf die Anwendung der Vorschriften der DSGVO verwiesen, um Abgren-
zungsprobleme zwischen dem Geltungsbereich der Richtlinie und der DSGVO möglichst
zu vermeiden. Das voraussichtlich zum 25. Mai 2018 in Kraft tretende PAG 2018 und die
vom Bund noch anzupassende StPO werden vorrangige Sondervorschriften für die Poli-
zei und Staatsanwaltschaften enthalten.
Auf die Tätigkeit der Gemeinden und sonstigen Behörden außerhalb des Polizei- und
Strafverfolgungsbereichs sind die Art. 28 bis 37 BayDSG nur dann anwendbar, wenn
Ordnungswidrigkeiten verfolgt oder geahndet werden und keine spezialgesetzlichen Vor-
schriften (z.B. im OWiG) bestehen (Art. 28 Abs. 1 Satz 2 BayDSG).
� Der Gesetzentwurf enthält außerdem Regelungen zum Datenschutz in Bereichen, die
weder der DSGVO noch der Richtlinie für den Datenschutz bei Polizei und Justiz unter-
liegen. Auch für diese Bereiche wird weitgehend auf die Regelungen der DSGVO verwie-
sen (Art. 2 BayDSG). Neu ist insbesondere die Regelung zur Verarbeitung personenbe-
zogener Daten zur Vorbereitung und Durchführung staatlicher und kommunaler Aus-
zeichnungen und Ehrungen (Art. 27 BayDSG).
� Die in Art. 38 BayDSG enthaltene Regelung zur Datenverarbeitung zu journalistischen,
künstlerischen und literarischen Zwecken gilt grundsätzlich auch für nicht öffentliche Stel-
len.
2.4 Schwerpunkt der Änderungen
Neue zentrale Rolle des Verantwortlichen nach der Datenschutz-2.4.1
Grundverordnung
Die DSGVO weist dem „Verantwortlichen“ bei der Verarbeitung personenbezogener Daten
eine zentrale Rolle zu. „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder
juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten ent-
scheidet“.
Art. 3 Abs. 2 BayDSG stellt klar, dass Verantwortlicher für die Verarbeitung personenbe-
zogener Daten im Sinne der DSGVO die für die Verarbeitung zuständige öffentliche Stel-
le ist, soweit nichts anderes bestimmt ist. Im öffentlichen Bereich ist damit weiterhin die
Behörde oder sonstige öffentliche Stelle gemeint (z.B. die Gemeinde oder das Landrats-
amt), die eine Datenverarbeitung zur Erfüllung ihrer Aufgaben durchführt.
Der Verantwortliche hat sicherzustellen, dass
10
� die materiellen Vorschriften über die Zulässigkeit der Verarbeitung personenbezogener
Daten durch die öffentliche Stelle eingehalten werden. Die Zulässigkeit der Verarbeitung
wird insbesondere in den Art. 5, 6 und 9 DSGVO, in Art. 4 Abs. 1 BayDSG und in fach-
gesetzlichen Datenschutzvorschriften geregelt,
� die Verfahrensvorschriften der DSGVO beachtet werden. Dies gilt z.B. für die Führung
des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, die Melde- und
Benachrichtigungspflichten nach Art. 33 und 34 DSGVO und die Durchführung von Da-
tenschutz-Folgenabschätzungen nach Art. 35 DSGVO und Art. 14 BayDSG,
� die datenschutzrechtlichen Informationspflichten nach Art. 13 und 14 DSGVO i.V.m. Art.
9 BayDSG und die sonstigen Rechte der Betroffenen beachtet werden (z.B. das Aus-
kunftsrecht nach Art. 15 DSGVO und Art. 10 BayDSG, das Recht auf Löschung nach Art.
17 DSGVO und das Widerspruchsrecht nach Art. 21 DSGVO),
� geeignete technische und organisatorische Maßnahmen zum Schutz der verarbeiteten
Daten getroffen werden (Art. 24 Abs. 1 und Art. 32 DSGVO) und
� geeignete sonstige Datenschutzvorkehrungen getroffen werden (z.B. Datenschutzrichtli-
nien oder sonstige Datenschutzanweisungen nach Art. 24 Abs. 2 DSGVO).
Wer die vielfältigen Pflichten des Verantwortlichen in der öffentlichen Stelle konkret er-
füllt, ist von der Leitung der öffentlichen Stelle festzulegen. Regelmäßig ist dabei zwi-
schen zentralen Ansprechpartnern für IT, Organisation und Datenschutz sowie den
Fachabteilungen zu unterscheiden. Außerdem sind die Verwaltungsabläufe so zu gestal-
ten, dass die Einhaltung datenschutzrechtlicher Bestimmungen sichergestellt ist. Die
Letztverantwortlichkeit verbleibt bei der Behördenleitung. Kapitel 4 dieser Arbeitshilfen
enthält ein Muster für eine Datenschutz-Geschäftsordnung, in der diese Aufgabenzuwei-
sungen und Verfahrensabläufe beschrieben werden.
Neue datenschutzrechtliche Begriffe 2.4.2
Art. 4 DSGVO enthält Begriffsbestimmungen, die teils den bisher im Datenschutzrecht ver-
wendeten Begriffen entsprechen, sich teilweise aber auch von diesen unterscheiden. Anders
als bisher im BayDSG umfasst z.B. die „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO künftig jegli-
chen Umgang mit personenbezogenen Daten, also insbesondere auch alles, was im bisheri-
gen Recht als „Erhebung“ oder „Nutzung“ bezeichnet wurde.
11
Zulässigkeit der Verarbeitung personenbezogener Da ten 2.4.3
Die DSGVO enthält nur begrenzte materielle Rechtsänderungen, die Vorschriften der DSG-
VO zur Zulässigkeit der Verarbeitung personenbezogener Daten sind zudem sehr allgemein
gehalten.
Die Öffnungsklauseln der DSGVO und die Befugnis zur Konkretisierung ihrer allgemeinen
Vorschriften ermöglichen darüber hinaus die weitgehende Beibehaltung der bisherigen, ge-
genüber dem BayDSG weiterhin vorrangigen datenschutzrechtlichen Spezialvorschriften
etwa im Schul- oder Krankenhausrecht.
Neben diesen fachgesetzlichen Befugnisnormen wird künftig Art. 4 Abs. 1 BayDSG we-
sentliche Grundlage für die Verarbeitung personenbezogener Daten durch bayerische öf-
fentliche Stellen sein:
„Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbescha-
det sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Auf-
gabe erforderlich ist.“
Ergänzend hierzu kommen als Rechtsgrundlagen für die Verarbeitung personenbezogener
Daten durch bayerische öffentliche Stellen künftig Art. 6 Abs. 1 Buchstabe a (Einwilligung der
betroffenen Person, vgl. dazu DSGVO-Erwägungsgrund 43), Buchstabe b (Verarbeitung für
die Erfüllung eines Vertrags) oder Buchstabe d DSGVO (Verarbeitung, um lebenswichtige
Interessen der betroffenen Person oder anderer Personen zu schützen) in Betracht. Für die
Verarbeitung besonderer Kategorien personenbezogener Daten enthalten Art. 9 DSGVO in
Verbindung mit Art. 8 Abs. 1 BayDSG enger gefasste Erlaubnistatbestände.
Neben den jeweiligen Erlaubnistatbeständen müssen bei Verarbeitungen zu anderen
Zwecken, etwa im Fall einer Übermittlung zur Erfüllung der Aufgaben der empfangenden
Behörde (Art. 5 Abs. 1 Satz. 1 Nr. 1 BayDSG), zusätzlich die Voraussetzungen einer
Zweckänderung gem. Art. 6 Abs. 4 DSGVO und Art. 6 BayDSG beachtet werden.
Umfangreiche Verfahrensänderungen 2.4.4
Schwerpunkt der anstehenden Anpassungsaufgaben an die DSGVO und das neue BayDSG
sind die umfangreichen Verfahrensänderungen im Datenschutz.
� Das bisherige Verfahrensverzeichnis nach Art. 27 BayDSG wird durch das Verzeichnis
der Verarbeitungstätigkeiten nach Art. 30 DSGVO abgelöst. Dieses Verzeichnis ist vom
Verantwortlichen – und nicht mehr wie das bisherige Verfahrensverzeichnis zwingend
12
vom behördlichen Datenschutzbeauftragten – zu führen. Kapitel 5 dieser Arbeitshilfen
enthält dazu nähere Ausführungen und ein Muster.
� Die datenschutzrechtliche Freigabe automatisierter Verfahren durch den behördlichen
Datenschutzbeauftragten entfällt ersatzlos. Dem behördlichen Datenschutzbeauftragten
ist nach Art. 12 Abs. 1 Satz 1 Nr. 2 BayDSG künftig allerdings Gelegenheit zur Stellung-
nahme vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automati-
sierten Verfahrens zu geben, mit dem personenbezogene Daten verarbeitet werden.
� Vor dem Einsatz „hochrisikoträchtiger“ und eingriffsintensiver Verarbeitungen ist künftig
das neu eingeführte Verfahren einer Datenschutz-Folgenabschätzung nach Art. 35
DSGVO durchzuführen (vgl. auch Art. 14 BayDSG). Der Landesbeauftragte für den Da-
tenschutz wird hierzu ergänzend eine – nicht abschließende – Liste von Verarbeitungen
veröffentlichen, für die ein solches Verfahren durchzuführen ist. Für Datenverarbeitun-
gen, die am 25. Mai 2018 bereits durchgeführt werden und in die Kategorie „hoch-
risikoträchtiger“ Verarbeitungen im Sinne des Art. 35 DSGVO einzustufen wären, ist eine
Datenschutz-Folgenabschätzung spätestens bis Mai 2021 durchzuführen, soweit die
Verarbeitung ohne wesentliche Änderung fortgesetzt wird.
Nummer 8 dieser Arbeitshilfen enthält nähere Ausführungen zu diesem für die Daten-
schutzpraxis zunächst voraussichtlich nur selten geforderten Verfahren.
� Der Landesbeauftragte für den Datenschutz erhält als Aufsichtsbehörde für die bayeri-
schen öffentlichen Stellen verstärkte Befugnisse bis hin zur Untersagung einzelner Da-
tenverarbeitungen (Art. 57 und 58 DSGVO). Das bisherige Beanstandungsverfahren wird
beibehalten (Art. 16 Abs. 4 BayDSG).
� Verletzungen des Schutzes personenbezogener Daten (Datenpannen), die voraussicht-
lich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen, sind künf-
tig dem Landesbeauftragten zu melden (Art. 33 DSGVO). Der Landesbeauftragte wird
dafür ein Meldeformular auf seiner Internetseite zur Verfügung stellen. Geht von der Ver-
letzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Perso-
nen aus, sind auch die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO).
� Die Rechte der betroffenen Personen sind von der DSGVO erheblich gestärkt worden.
Dies gilt insbesondere für die Information der betroffenen Person bei einer Datenerhe-
bung (z.B. mittels eines Formulars). Kapitel 6 dieser Arbeitshilfen enthält dazu nähere
Ausführungen und Beispiele für mögliche Formulierungen.
Die DSGVO baut ferner auch Schutzrechte der Betroffenen wie das Recht auf Auskunft
(Art. 15 DSGVO, Art. 10 BayDSG) aus, z.B. durch eine mit ablauforganisatorischen
13
Maßnahmen zu sichernde einmonatige Beantwortungsfrist (Art. 12 Abs. 3 und 4 DSG-
VO).
Das Recht auf Auskunft der betroffenen Person umfasst künftig auch das Recht auf die
Bereitstellung einer kostenlosen Kopie (Art. 15 Abs. 3 DSGVO).
Aufgaben und Stellung des behördlichen Datenschutz beauftragten 2.4.5
Mit Anwendbarkeit der DSGVO und Inkrafttreten des neuen BayDSG am 25. Mai 2018 wer-
den auch die Stellung und die Aufgaben des behördlichen Datenschutzbeauftragten neu
geregelt (Art. 37 bis 39 DSGVO und Art. 12, 24 Abs. 5 BayDSG). Nach Art. 37 Abs. 1
Buchst. a DSGVO hat jede öffentliche Stelle einen Datenschutzbeauftragten zu benennen.
Der behördliche Datenschutzbeauftragte ist auf der Grundlage seiner beruflichen Qualifikati-
on und insbesondere seines datenschutzrechtlichen Fachwissens zu benennen (Art. 37
Abs. 5 DSGVO). Dazu gehören Rechtskenntnisse bezüglich der einschlägigen datenschutz-
rechtlichen Regelungen sowie Grundkenntnisse der eingesetzten IuK-Technik.
Der behördliche Datenschutzbeauftragte ist frühzeitig in alle mit dem Schutz personen-
bezogener Daten zusammenhängenden Fragen einzubinden (Art. 38 Abs. 1 DSGVO). Er
muss Zugang zum Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erhalten
(Art. 12 Abs. 1 Satz 1 Nr. 1 BayDSG).
Der behördliche Datenschutzbeauftragte ist berechtigt und verpflichtet, der Behördenleitung
unmittelbar zu berichten (Art 38 Abs. 3 Satz 3 DSGVO). Wesentliche Aufgaben des behördli-
chen Datenschutzbeauftragten sind insbesondere
� die Unterrichtung und Beratung des Verantwortlichen über dessen datenschutzrechtliche
Pflichten,
� die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften,
� die Zusammenarbeit mit der Aufsichtsbehörde,
� die Stellungnahme zu einem beabsichtigten Einsatz oder einer wesentlichen Änderung
eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden
� die Stellungnahme zu geplanten Videoüberwachungsanlagen und
� die Beratung des Verantwortlichen bei Datenschutz-Folgenabschätzungen
(Art. 39 Abs. 1 DSGVO, Art. 12 Abs. 1 Nr. 2 und Art. 24 Abs. 5 BayDSG).
Die Führung des Verzeichnisses der Verarbeitungstätigkeiten und die Durchführung der
Datenschutz-Folgenabschätzung sind keine gesetzlichen Pflichtaufgaben des behördli-
14
chen Datenschutzbeauftragten – anders als früher die Führung des Verfahrensverzeich-
nisses und das datenschutzrechtliche Freigabeverfahren.
2.5 Wie gehe ich künftig vor, um die richtige Recht sgrundlage für die Lösung einer
datenschutzrechtlichen Frage zu finden?
Soweit der Bundes- und Landesgesetzgeber datenschutzrechtliche Regelungen des Fach-
rechts zeitgerecht zum 25. Mai 2018 der DSGVO anpasst, ist bei datenschutzrechtlichen
Fragen zunächst zu prüfen, ob das Fachrecht eine einschlägige Regelung z.B. zur Zulässig-
keit der Datenverarbeitung enthält. Wenn dies nicht der Fall ist, ist das BayDSG als Auffang-
gesetz heranzuziehen.
In jedem Fall ist zu beachten, dass sowohl das allgemeine als auch das fachspezifische Da-
tenschutzrecht häufig nur ergänzende und konkretisierende Regelungen zu den Vorgaben
der DSGVO trifft. Zur Beurteilung datenschutzrechtlicher Fragestellungen werden somit die
Datenschutz-Grundverordnung und die Regelungen im allgemeinen sowie gegebenenfalls
auch im bereichsspezifischen nationalen Datenschutzrecht (sei es im Landes-, sei es im
Bundesrecht) im Zusammenhang zu lesen und anzuwenden sein.
Das BayDSG 2018 wird in den Überschriften der Vorschriften deutlich machen, auf wel-
che Artikel der DSGVO sie sich beziehen.
Im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz empfiehlt sich,
zu Beginn einen Blick in Art. 28 BayDSG zu werfen, der die umfassende Geltung der DSG-
VO teilweise wieder einschränkt.
2.6 Welche praktischen Anpassungsaufgaben sind vord ringlich?
Zuständigkeiten für die am Datenschutz Beteiligten neu festlegen 2.6.1
Die DSGVO und das BayDSG weisen dem Verantwortlichen, also der öffentlichen Stelle,
neue Aufgaben zu. Es ist festzulegen, wer diese Pflichten des Verantwortlichen nach der
DSGVO und dem BayDSG in der Behörde erfüllt. Davon abzugrenzen sind die Aufgaben
und Befugnisse des behördlichen Datenschutzbeauftragten.
Den Bestand an Verarbeitungen erfassen 2.6.2
Das Verzeichnis der Verarbeitungstätigkeiten ist zentraler Ausgangspunkt für die Erfüllung
der Aufgaben des Verantwortlichen, des behördlichen Datenschutzbeauftragten und der Auf-
sichtsbehörde. Als Ausgangspunkt für die Erstellung dieses Verzeichnisses kann das bisher
geführte Verfahrensverzeichnis verwendet werden. Neu aufzunehmen sind nicht automati-
sierte Verarbeitungstätigkeiten.
15
Aufgaben und Stellung des behördlichen Datenschutz beauftragten festlegen 2.6.3
Die Aufgaben und Stellung des behördlichen Datenschutzbeauftragten nach Art. 37 bis 39
DSGVO und Art. 12 BayDSG unterscheiden sich wesentlich von dessen Aufgaben und der
Stellung nach dem bisherigen Recht.
Bestehende Aufgabenbeschreibungen des behördlichen Datenschutzbeauftragten sind an-
zupassen. Festzulegen ist insbesondere, ob dem Datenschutzbeauftragten nach Art. 38
Abs. 6 DSGVO die Führung des Verzeichnisses der Verarbeitungstätigkeiten und weitere
zusätzliche Aufgaben übertragen werden.
16
3. Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO
Am 25. Mai 2018 wird die DSGVO anzuwenden sein und das neue BayDSG in Kraft treten.
Die folgende Tabelle enthält einen Überblick über die Maßnahmen zur Umsetzung dieser
Rechtsänderungen in bayerischen Behörden und sonstigen öffentlichen Stellen.
Maßnahmen Anmerkungen
1a. Festlegung, wer in der Behörden für
die Umsetzung der DSGVO zuständig ist.
1b. Benennung / Bestellung eines be-
hördlichen Datenschutzbeauftragten
(DSB) und eines Stellvertreters gem. Art.
37 DSGVO und Art. 12 BayDSG
Entfällt, wenn bereits ein behördlicher Da-
tenschutzbeauftragter (DSB) / Stellvertreter
bestellt wurde, die bisherige Bestellung gilt
fort.
- Öffentliche Stellen haben in jedem Fall
einen DSB zu benennen (Art. 37 Abs. 1
Buchst. a DSGVO)
- Dieser muss nicht mehr zwingend ein
Beschäftigter des Verantwortlichen sein
- Für mehrere Verantwortliche ist die Be-
nennung eines gemeinsamen DSB/
Stellvertreters weiterhin möglich
- Auswahl geeigneter Personen
- Bestellung/Benennung dokumentieren,
ggf. zuvor eine Benennung vom Ge-
meinde-/ Stadtrat beschließen lassen
1c. Anpass ung des Aufgabenbereichs
des DSB
Gem. Art. 39 Abs. 1 DSGVO und Art. 12
Abs. 1 BayDSG gemeinsam mit der Behör-
denleitung erstellen bzw. anpassen
17
1d. Erlass einer Geschäftsordnung zum
Datenschutz bzw. Anpassung bestehen-
der Geschäftsordnun-
gen/Dienstanweisungen an die Vorgaben
der DSGVO
Datenschutzrechtliche Zuständigkeiten
müssen konkret einzelnen Organisations-
einheiten oder Personen innerhalb der öf-
fentlichen Stelle zugewiesen und notwendi-
ge Verfahrensabläufe festgelegt werden;
Näheres hierzu im Kapitel 4 dieser Arbeits-
hilfe
2. Erstellen des Verzeichnisses der Ve r-
arbeitungstätigkeiten (VV) gem. Art. 30
DSGVO
- Ausgangspunkt kann das bisherige
Verfahrensverzeichnis für automatisier-
te Verfahren sein
- Neu aufzunehmen sind auch papierge-
bundene Verarbeitungstätigkeiten in
Akten
- Verwendung des neuen Formblatts
Siehe Kapitel 5 dieser Arbeitshilfe
3. Anpassung der Datenschutz hinweise
auf Vordrucken und im Internet (Art. 12,
13, 14 DSGVO)
Siehe Kapitel 7 dieser Arbeitshilfe
4. Veröffentlichung der Kontaktdat en des
DSB und Mitteilung der Kontaktdaten an
den Bayerischen Landesbeauftragten für
Datenschutz
Art. 37 Abs. 7 DSGVO.
Für die Mitteilung an den Landesbeauftrag-
ten wird ein Internetformular bereitstehen.
Anstelle der Verwendung dieses Formulars
kann auch die Eintragung der Kontaktdaten
des behördlichen Datenschutzbeauftragten
bei den Anschrift- und Kontaktdaten der
Behörde im BayernPortal / Behördenweg-
weiser erfolgen.
5. Anpassung von Verträgen über Auf-
tragsverarbeitungen
Bestehende Verträge überprüfen, ob diese
die Vorgaben nach Art. 28 und 29 DSGVO
18
einhalten
Siehe Kapitel 7 dieser Arbeitshilfe.
6. (Normen -) Screening Überprüfung von kommunalen Satzungen
oder Verordnungen sowie von Dienstver-
einbarungen und sonstigen Dienstanwei-
sungen, ob diese mit der DSGVO vereinbar
sind
Bei kommunalen Satzungen und Verord-
nungen dürfte der Anpassungsbedarf gering
sein
7. Anpassung der technischen und org a-
nisatorischen Maßnahmen.
Insbesondere sind Verfahren auf daten-
schutzfreundliche Voreinstellungen zu
überprüfen
Abstimmung der Schnittmengen mit der IT-
Sicherheit
Vermeidung von doppelten Strukturen hin-
sichtlich des „technischen“ Datenschutzes;
bei technisch-organisatorischen Maßnah-
men kann auf ein vorhandenes IT-
Sicherheitskonzept hingewiesen werden
Die von bayerischen öffentlichen Stellen zu
ergreifenden technischen und organisatori-
schen Maßnahmen zur Absicherung von
Verfahren ändern sich durch die DSGVO
nicht zwangsläufig, auch wenn hier teilwei-
se andere Begrifflichkeiten verwendet wer-
den
19
4. Datenschutz-Geschäftsordnung
Die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften trägt nach der
DSGVO nicht der behördliche Datenschutzbeauftragte, sondern der „Verantwortliche“ (vgl.
hierzu Einführung unter 2.4.1). Die DSGVO weist dem Verantwortlichen eine Reihe neuer
datenschutzrechtlicher Pflichten und Aufgaben zu, die im bisherigen Datenschutzrecht noch
nicht vorgesehen waren (z.B. Meldung von Datenschutzverletzungen nach Art. 33 DSGVO).
Der Verantwortliche ist auch Adressat der Rechte der betroffenen Personen nach Art. 12 ff.
DSGVO. Er hat nicht nur die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen
personenbezogener Daten zu gewährleisten, sondern muss auch den Nachweis dafür er-
bringen, dass die Datenverarbeitung im Einklang mit den Vorgaben der DSGVO erfolgt (sog.
Rechenschaftspflicht, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Auch die Richtlinie zum Daten-
schutz bei Polizei und Justiz sieht formelle und organisatorische Pflichten des Verantwortli-
chen vor, die denen der DSGVO weitgehend entsprechen und im BayDSG sowie im Fach-
recht in nationales Recht umgesetzt wurden.
Im öffentlichen Bereich ist der Verantwortliche nicht eine einzelne handelnde Person, son-
dern die für die Datenverarbeitung zuständige öffentliche Stelle, d.h. die Behörde oder sons-
tige öffentliche Stelle, z.B. die Gemeinde oder das Landratsamt (Art. 4 Nr. 7 DSGVO, Art. 3
Abs. 2 BayDSG). Der Leitung der jeweiligen öffentlichen Stelle obliegt es insbesondere, ein
Datenschutzkonzept aufzustellen, mit dem sichergestellt wird, dass im Zuständigkeitsbereich
der öffentlichen Stelle die datenschutzrechtlichen Pflichten erfüllt und datenschutzrechtliche
Bestimmungen eingehalten werden (Art. 24 Abs. 2 DSGVO). Dies setzt voraus, dass daten-
schutzrechtliche Zuständigkeiten konkret einzelnen Organisationseinheiten oder Personen
innerhalb der öffentliche Stelle zugewiesen und notwendige Verfahrensabläufe festgelegt
werden.
Mit anderen Worten: Die Leitung der jeweiligen öffentlichen Stelle muss dafür Vorsorge
treffen, dass innerhalb ihres Zuständigkeitsbereichs eine datenschutzrechtliche Aufbau-
und Ablauforganisation zur Verfügung steht, welche die Einhaltung der Vorgaben der EU-
Datenschutzreform gewährleistet.
Die Dokumentation des Datenschutzkonzepts dient auch der Erfüllung der Rechenschafts-
pflicht.
20
Die Mindestaufgaben des behördlichen Datenschutzbeauftragten sind in Art. 39 Abs. 1
DSGVO, Art. 12 und Art. 24 Abs. 5 BayDSG gesetzlich festgelegt. Darüber hinaus können
auf den behördlichen Datenschutzbeauftragten einzelne Aufgaben und Pflichten des Ver-
antwortlichen übertragen werden, sofern dies nicht zu einem Interessenkonflikt bei der
Wahrnehmung seiner übrigen Kernaufgaben führt (Art. 38 Abs. 6 DSGVO).
Das nachfolgende Muster einer Datenschutz-Geschäftsordnung enthält Vorschläge, wie
innerhalb einer öffentlichen Stelle datenschutzrechtliche Zuständigkeiten verteilt und ver-
fahrensrechtliche Abläufe geregelt werden können. Das Muster ist für mittlere und große
staatliche Verwaltungsbehörden konzipiert. Es kann eine Hilfestellung für eigenverant-
wortlich zu treffende Regelungen der Gemeinden, Landkreise, Bezirke und sonstigen öf-
fentlichen Stellen sein. Abhängig von Größe und Struktur der einzelnen öffentlichen Stel-
len kann sich auch eine andere Zuständigkeitsverteilung oder die Festsetzung abwei-
chender Verfahrensabläufe als sinnvoll erweisen.
Hinweis: Die Regelungen der DSGVO finden grundsätzlich auch bei Datenverarbeitungen im
Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz entsprechende
Anwendung (vgl. Art. 2 Satz 1 i.V.m. Art. 28 ff. BayDSG). Die im nachfolgenden Muster dar-
gestellten Zuständigkeits- und Verfahrensregelungen, die Pflichten des Verantwortlichen
nach der DSGVO betreffen, können deshalb auch bei Datenverarbeitungen zum Zwecke der
Verfolgung und Ahndung von Straftaten und Ordnungswidrigkeiten herangezogen werden
(Art. 28 Abs. 1 Satz 1, 2 BayDSG). Aus dem 8. Kapitel des BayDSG sowie aus dem jeweili-
gen Fachrecht können sich jedoch Abweichungen, Modifikationen oder Ergänzungen (z.B.
zusätzliche Angaben, die in das Verarbeitungsverzeichnis nach Art. 30 DSGVO aufgenom-
men werden müssen, vgl. Art. 31 BayDSG) ergeben, die bei der Anwendung der einzelnen
Regelungen der DSGVO zu beachten sind. Mit § 4 Buchst. c, § 12 Abs. 3 Satz 5 sowie § 14
enthält die Geschäftsordnung Regelungen, die nur bei Verarbeitungen im Anwendungsbe-
reich des Art. 28 BayDSG zu beachten sind. Zur besseren Lesbarkeit des Musters nimmt die
Geschäftsordnung ansonsten nur auf die Vorschriften der DSGVO Bezug. Auf Modifikationen
zu einzelnen Regelungen der DSGVO für Datenverarbeitungen im Anwendungsbereich des
Art. 28 BayDSG wird in den Erläuterungen hingewiesen.
21
4.1 Muster einer Datenschutz-Geschäftsordnung
Datenschutz-Geschäftsordnung2 der … (Behörde)
…. vom….3
Inhaltsverzeichnis :
Erster Teil: Allgemeine Regelungen
§ 1 Geltungsbereich
Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2 Behördenleitung
§ 3 Organisationssachgebiet
§ 4 IT-Sachgebiet
§ 5 Fachsachgebiete
§ 6 Behördlicher Datenschutzbeauftragter
Dritter Teil: Zusammenarbeit
§ 7 Zusammenarbeit und gegenseitige Information
Vierter Teil: Datenschutzrechtliche Ablauforganisat ion
Abschnitt 1: Allgemeine Grundsätze zur Gewährleistu ng des Datenschutzes
§ 8 Information der Beschäftigten
§ 9 Beteiligung des behördlichen Datenschutzbeauftragten
§ 10 Datenschutzbericht
§ 11 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses
2 Im kommunalen Bereich kann sich die Bezeichnung als „Dienstanweisung“ anbieten. 3 Zur besseren Lesbarkeit der Geschäftsordnung wurde vom Gebrauch von Paarformen (vgl. Nr. 2.4.4.1 Organisationsrichtlinien) Abstand genommen.
22
Abschnitt 2: Gewährleistung besonderer datenschutzr echtlicher Verpflichtungen
§ 12 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO
§ 13 Auftragsverarbeitung
§ 14 Vertrauliche Meldung von Datenschutzverstößen nach Art. 36 BayDSG
Fünfter Teil: Schlussvorschriften
§ 15 Inkrafttreten
3 Anlagen
23
Erster Teil: Allgemeine Regelungen
§ 1 Geltungsbereich
Die Geschäftsordnung gilt für die Verarbeitung personenbezogener Daten durch alle Or-
ganisationseinheiten/Dienststellen der <Behörde/Kommune>.
Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2 Behördenleitung 4
(1) Die Behördenleitung stellt mit Unterstützung der nachfolgend genannten Organisati-
onseinheiten sicher, dass die Verarbeitung personenbezogener Daten im Einklang
mit den datenschutzrechtlichen Bestimmungen erfolgt.
(2) 1Die Behördenleitung benennt einen behördlichen Datenschutzbeauftragten und des-
sen Vertretung, soweit gesetzlich oder in dieser Geschäftsordnung nichts anderes
bestimmt ist. 2Für die Benennung ist die als Anlage 1 beigefügte Urkunde zu verwen-
den.
§ 3 Organisationssachgebiet 5
(1) 1Das Organisationssachgebiet erarbeitet im Benehmen mit dem behördlichen Daten-
schutzbeauftragten und dem IT-Sachgebiet geeignete Datenschutzvorkehrungen
nach Art. 24 Abs. 2 DSGVO. 2Hierzu gehören insbesondere Datenschutz-Richtlinien
und fachverfahrensspezifische Anweisungen an die Beschäftigten.
(2) Soweit nichts anderes bestimmt6 ist, führt das Organisationssachgebiet das Verarbei-
tungsverzeichnis nach Art. 30 DSGVO.
4 Im gemeindlichen Bereich z.B. der erste Bürgermeister / Oberbürgermeister. 5 Ggf. konkretisieren. 6 Vgl. § 6 dieser Geschäftsordnung.
24
§ 4 IT-Sachgebiet 7
Das IT-Sachgebiet legt in Abstimmung mit den nach §§ 3 und 5 zuständigen Organi-
sationseinheiten
a. geeignete technische Maßnahmen zum Schutz der zu verarbeitenden Daten
nach Art. 24 Abs. 1, Art. 25 und Art. 32 DSGVO,
b. angemessene und spezifische Maßnahmen zum Schutz besonderer Kategorien
personenbezogener Daten nach Art. 8 Abs. 2 BayDSG,
c. ggf. geeignete Maßnahmen nach Art. 32 Abs. 2 BayDSG8
fest.
§ 5 Fachsachgebiete 9
(1) Die Fachsachgebiete tragen für ihren Zuständigkeitsbereich die Verantwortung für die
Beachtung der jeweils maßgeblichen datenschutzrechtlichen Vorschriften.
(2) Im Benehmen mit dem behördlichen Datenschutzbeauftragten stellen die Fachsach-
gebiete für ihren Zuständigkeitsbereich sicher, dass die Rechte der betroffenen Per-
sonen nach Art. 12, Art. 15 bis Art. 22 DSGVO sowie die Informationspflichten nach
Art. 13 und Art. 14 DSGVO erfüllt werden.
(3) 1Die Personalvertretung gilt als Fachsachgebiet. 2Der besonderen Stellung der Per-
sonalvertretung ist Rechnung zu tragen.
§ 6 Behördlicher Datenschutzbeauftragter 10,11
Ergänzend zu den durch Art. 39 Abs. 1 DSGVO sowie Art. 12 und 24 Abs. 5 BayDSG
zugewiesenen Aufgaben nach Anlage 2 werden dem behördlichen Datenschutzbe-
auftragten die nachfolgenden Aufgaben übertragen12:
7 Ggf. konkretisieren. Mit „IT-Sachgebiet“ wird die für IT verantwortliche Organisationseinheit be-zeichnet. 8 Entfällt, soweit die öffentliche Stelle nicht dem Anwendungsbereich des Art. 28 BayDSG 2018 unter-liegt. 9 Ggf. anpassen z.B. „Fachreferat“. 10 Zur eingeschränkten Zuständigkeit des behördlichen Datenschutzbeauftragten in Gerichten vgl. Art. 37 Abs. 1 Buchstabe a DSGVO. 11 Zur Gewährleistung der Erreichbarkeit des behördlichen Datenschutzbeauftragten wird empfohlen, ihm ein Funktionspostfach einzurichten z.B. datenschutzbeauftragter@behörde.de
25
☐ Führung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO
☐ Koordinierung der Erfüllung der Rechte der betroffenen Personen nach Art.
12, Art. 15 bis 22 DSGVO durch das jeweilige Fachsachgebiet einschließlich
Beteiligung bei deren abschließenden Entscheidungen über Betroffenen-
rechte
☐ Begleitung der Durchführung der Datenschutz-Folgenabschätzung nach
Art. 35 f. DSGVO
☐ Schulungen von Beschäftigten
☐ Umsetzung der Meldung bzw. Benachrichtigung bei Datenschutzverletzun-
gen nach Art. 33 und Art. 34 DSGVO
☐ ________________________________________________
Dritter Teil: Zusammenarbeit
§ 7 Zusammenarbeit und gegenseitige Information
(1) 1Das Organisationssachgebiet, das IT-Sachgebiet und der behördliche Datenschutz-
beauftragte arbeiten zur Gewährleistung des Datenschutzes vertrauensvoll zusam-
men und informieren sich gegenseitig. 2Hierzu schaffen sie geeignete Verfahren der
kontinuierlichen Zusammenarbeit. 3Sie unterrichten die Behördenleitung über alle we-
sentlichen Vorgänge.
(2) 1Jeder Beschäftigte meldet seinem jeweiligen Vorgesetzen unverzüglich Verstöße
gegen datenschutzrechtliche Bestimmungen. 2Die Fachsachgebiete informieren den
behördlichen Datenschutzbeauftragten über den Verstoß.
12 Die Übertragung zusätzlicher Aufgaben muss mit der in der DSGVO enthaltenen Rollenbeschrei-bung des Datenschutzbeauftragten vereinbar sein; insbesondere darf die Aufgabenübertragung nicht zu einem Interessenkonflikt führen, vgl. Erläuterungen zu § 6.
26
Vierter Teil: Ablauforganisation
Abschnitt 1: Allgemeine Grundsätze zur Gewährleistu ng des Datenschutzes
§ 8 Information der Beschäftigten
Die Beschäftigten sind durch Richtlinien zum Datenschutz und auf sonstige Art und
Weise für den Umgang mit personenbezogenen Daten zu sensibilisieren.
§ 9 Beteiligung des behördlichen Datenschutzbeauftr agten
(1) Der behördliche Datenschutzbeauftragte wird frühzeitig in alle wesentlichen Da-
tenschutzfragen eingebunden und vom Organisationssachgebiet, dem IT-
Sachgebiet, den Fachsachgebieten und den Beschäftigten bei der Erfüllung sei-
ner Aufgaben unterstützt.
(2) Ihm ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines au-
tomatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden,
Gelegenheit zur Stellungnahme zu geben.
(3) 1Vor dem Einsatz einer Videoüberwachung sind dem behördlichen Datenschutz-
beauftragten der Zweck, die räumliche Ausdehnung und die Dauer der Video-
überwachung, der betroffene Personenkreis, die Maßnahmen nach Art. 24 Abs. 2
BayDSG und die vorgesehenen Auswertungen mitzuteilen. 2Ihm ist Gelegenheit
zur Stellungnahme zu geben.
(4) Der behördliche Datenschutzbeauftragte ist im Vorfeld von Vergabeverfahren und
neuer Fachverfahren sowie vor der Beschaffung von IT-Hard- und Software zu
beteiligen, wenn datenschutzrechtlich bedeutsame Anschaffungen geplant wer-
den.
27
§ 10 Datenschutzbericht 13
1Der behördliche Datenschutzbeauftragte erstellt regelmäßig, mindestens alle zwei
Jahre, einen Bericht zum Datenschutz. 2In diesem sind die in der Behörde/Kommune
zur Gewährleistung des Datenschutzes eingesetzten technischen und organisatori-
schen Maßnahmen darzustellen sowie ggf. festgestellte Datenschutzverstöße und
Schutzlücken aufzuführen. 3Der Bericht enthält eine Bewertung, ob die eingesetzten
technischen und organisatorischen Maßnahmen ausreichend sind, dem Stand der
Technik entsprechen und in welchem Umfang datenschutzrechtliche Risiken beste-
hen. 4Die Ergebnisse des Berichts werden mit der Behördenleitung und den zustän-
digen Organisationseinheiten erörtert und Verbesserungsmöglichkeiten geprüft. 5Der
Bericht wird nicht veröffentlicht.
§ 11 Gewährleistung der Richtigkeit und Vollständig keit des Verarbeitungsverzeich-
nisses
(1) Die Fachsachgebiete melden der für die Führung des Verarbeitungsverzeichnisses
zuständigen Organisationseinheit14 unaufgefordert die neu aufgenommenen Verar-
beitungstätigkeiten sowie wesentliche Änderungen bereits gemeldeter Verarbeitungs-
tätigkeiten.
(2) Für diese Meldung ist das als Anlage 3 beigefügte Formblatt zu verwenden.
(3) 1Die für die Führung des Verarbeitungsverzeichnisses zuständige Organisationsein-
heit15 übersendet den Fachsachgebieten jährlich eine Liste der von diesen gemelde-
ten Verarbeitungstätigkeiten. 2Die Fachsachgebiete prüfen die Liste auf Richtigkeit
und Vollständigkeit, aktualisieren sie und leiten sie der für die Führung des Verarbei-
tungsverzeichnisses zuständigen Organisationseinheit16 zu.
13 Die Erstellung eines Datenschutzberichts ist eine von mehreren Möglichkeiten, um die Erfüllung der Pflichten des Verantwortlichen nach Art. 24 Abs. 1 Satz 2 DSGVO sowie des behördlichen Daten-schutzbeauftragten nach Art. 38 Abs. 3 Satz 3, Art. 39 Abs. 1 Buchst. b DSGVO verfahrensrechtlich abzusichern. Anstelle eines schriftlichen Berichts kann auch ein anderes geeignetes Verfahren zur regelmäßigen Beurteilung des Datenschutzes vorgesehen werden, das die Einhaltung der oben ge-nannten Pflichten sicherstellt. 14 Ggf. konkretisieren: hierbei kann es sich z.B. um das Organisationssachgebiet (vgl. § 4 Abs. 2) oder bei einer Aufgabenübertragung nach § 6 um den behördlichen Datenschutzbeauftragten handeln. 15 Siehe Fußnote 13. 16 Siehe Fußnote 13.
28
Abschnitt 2: Gewährleistung besonderer datenschutzr echtlicher Verpflichtungen
§ 12 Verfahren bei Datenschutzverletzungen nach Art . 33 und Art. 34 DSGVO
(1) 1Im Fall einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art.
4 Nr. 12 DSGVO informiert die jeweilige Organisationseinheit, der die Datenschutz-
verletzung bekannt geworden ist, unverzüglich den behördlichen Datenschutzbeauf-
tragten hierüber.
(2) 1Soweit dem Organisationssachgebiet und dem IT-Sachgebiet der Verstoß noch nicht
bekannt ist, unterrichtet der behördliche Datenschutzbeauftragte diese. 2Er teilt ihnen
dabei seine Einschätzung mit, ob eine Meldepflicht nach Art. 33 DSGVO oder eine
Benachrichtigungspflicht nach Art. 34 DSGVO besteht. 3Die Einschätzung ist schrift-
lich zu begründen.
(3) 1Die für die Umsetzung der Meldung zuständige Organisationseinheit17 meldet im
Einvernehmen mit dem Organisationssachgebiet und dem IT-Sachgebiet die Verlet-
zung des Schutzes personenbezogener Daten unverzüglich dem Bayerischen Lan-
desbeauftragten für den Datenschutz mit dem nach Art. 33 DSGVO vorgegebenen
Mindestinhalt, möglichst innerhalb einer Frist von 72 Stunden. 2Ist eine Meldung in-
nerhalb von 72 Stunden nicht möglich, sind die Gründe hierfür zu dokumentieren und
die Meldung unverzüglich nachzuholen. 3Die Meldung unterbleibt, wenn das Organi-
sationssachgebiet und das IT-Sachgebiet unter Berücksichtigung der Einschätzung
des behördlichen Datenschutzbeauftragten nach Abs. 2 der Auffassung sind, dass
die Voraussetzungen des Art. 33 DSGVO nicht vorliegen. 4Die Gründe hierfür sind zu
dokumentieren. 5Wenn Daten von oder an den Verantwortlichen eines anderen Mit-
gliedstaates übermittelt wurden, sind im Anwendungsbereich der Art. 28 bis 37
BayDSG die Informationen nach Art. 33 Abs. 3 DSGVO unverzüglich auch an diesen
zu melden.
(4) 1Das Organisationssachgebiet und das IT-Sachgebiet entscheiden auf der Grundlage
der Einschätzung des behördlichen Datenschutzbeauftragten nach Abs. 2, ob eine
17 Ggf. konkretisieren: Die Meldung erfolgt z.B. durch den behördlichen Datenschutzbeauftragten, wenn ihm diese Aufgabe gemäß § 6 übertragen worden ist. Ist dies nicht der Fall und wurde diese Aufgabe auch keiner anderen Organisationseinheit (z.B. IT-Sachgebiet, Organisationssachgebiet) zugewiesen, verbleibt es bei der Verantwortlichkeit des zuständigen Fachsachgebiets nach § 5 Abs. 1.
29
Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat und
somit eine Benachrichtigungspflicht nach Art. 34 DSGVO besteht. 2Die Benachrichti-
gung der betroffenen Person erfolgt unverzüglich durch die für die Umsetzung der
Benachrichtigung zuständige Organisationseinheit18. 3Unterbleibt eine Benachrichti-
gung nach Art. 34 DSGVO, sind die Gründe hierfür zu dokumentieren.
(5) Nach Bekanntwerden des Verstoßes leiten das Organisationssachgebiet und das IT-
Sachgebiet in Abstimmung mit dem behördlichen Datenschutzbeauftragten unverzüg-
lich Abhilfemaßnahme ein.
§ 13 Auftragsverarbeitung
1Das Organisationssachgebiet prüft vor Abschluss eines Vertrages über die Auf-
tragsverarbeitung, ob der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass
geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass
die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den zu ihrer Er-
gänzung erlassenen europäischen, bundes- und landesrechtlichen Regelungen erfolgt
und der Schutz der Rechte der betroffenen Person gewährleistet wird. 2Hierzu lässt sich
das Organisationssachgebiet entsprechende Nachweise/Zertifikate vorlegen und holt die
Stellungnahme des behördlichen Datenschutzbeauftragten sowie des IT-Sachgebiets
ein.
§ 14 Vertrauliche Meldung von Datenschutzverstößen nach Art. 36 BayDSG 19
1Erlangt ein Mitarbeiter von einem Datenschutzverstoß Kenntnis, kann er sich jederzeit
unmittelbar an den behördlichen Datenschutzbeauftragten wenden. 2Der behördliche
Datenschutzbeauftragte behandelt die Meldung vertraulich. 3Er darf Tatsachen, die ihm
18 Ggf. konkretisieren: Die Benachrichtigung erfolgt z.B. durch den behördlichen Datenschutzbeauf-tragten, wenn ihm diese Aufgabe gemäß § 6 übertragen worden ist. Ist dies nicht der Fall und wurde diese Aufgabe auch keiner anderen Organisationseinheit (z.B. IT-Sachgebiet, Organisationssachge-biet) zugewiesen, verbleibt es bei der Verantwortlichkeit des zuständigen Fachsachgebiets nach § 5 Abs. 1. 19 Entfällt, soweit die öffentliche Stelle nicht dem Anwendungsbereich der Art. 28 bis 37 BayDSG 2018 unterliegt.
30
in Ausübung seiner Funktion anvertraut wurden, und die Identität der mitteilenden Per-
son nicht ohne dessen Einverständnis offenbaren.
§ 15 Inkrafttreten
Diese Geschäftsordnung tritt am 25. Mai 2018 in Kraft.
31
4.2 Erläuterungen zur Datenschutz-Geschäftsordnung
Erster Teil: Allgemeine Regelungen
Zu § 1 (Geltungsbereich)
§ 1 bestimmt den Adressatenkreis, an den sich die Datenschutz-Geschäftsordnung richtet.
Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
Der zweite Teil enthält aufbauorganisatorische Regelungen und legt konkret fest, welche
Organisationseinheit innerhalb der öffentlichen Stelle für die Wahrnehmung bestimmter da-
tenschutzrechtlicher Pflichten zuständig ist. Fehlt eine Zuständigkeitszuweisung an eine kon-
krete Organisationseinheit, sieht das vorliegende Muster eine allgemeine Zuständigkeit der
jeweiligen Fachsachgebiete vor (siehe § 5).
Zu § 2 (Behördenleitung)
Zu Abs. 1: Die Leitung der öffentlichen Stelle hat zu gewährleisten, dass innerhalb ihres Zu-
ständigkeitsbereichs die datenschutzrechtlichen Bestimmungen eingehalten werden.
Zu den maßgeblichen datenschutzrechtlichen Bestimmungen, die bei der Verarbeitung per-
sonenbezogener Daten zu beachten sind, gehören in erster Linie die Regelungen der DSG-
VO sowie die sie ergänzenden bundes- oder landesrechtlichen Datenschutzregelungen. Da-
neben unterfallen Verwaltungsbehörden, die in der Regel auch personenbezogene Daten zu
Zwecken der Verfolgung und Ahndung von Straftaten und Ordnungswidrigkeiten verarbeiten,
insoweit auch dem Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Jus-
tiz und haben die zur Umsetzung der Richtlinie erlassenen Datenschutzregelungen im Bun-
des- und Landesrecht zu beachten (vgl. Art. 28 Abs. 1 Satz 2 BayDSG).
Die Behördenleitung hat zum einen sicherzustellen, dass alle Verarbeitungen der öffentli-
chen Stelle im Einklang mit den materiell-rechtlichen Anforderungen dieser Vorschriften ste-
hen, zum anderen, dass die mit der EU-Datenschutzreform einhergehenden neuen Verfah-
renspflichten in der öffentlichen Stelle umgesetzt werden. Diese Aufgabe kann die Behörden-
leitung nur erfüllen, wenn sie hierbei von verschiedenen Organisationseinheiten innerhalb
der öffentlichen Stelle unterstützt wird. Jedes Fachsachgebiet hat in seinem Zuständigkeits-
bereich die Vorschriften des Datenschutzes umzusetzen. Bei der Umsetzung organisatori-
scher und technischer Datenschutzmaßnahmen sind insbesondere das für die innerbehördli-
che Organisation zuständigen Sachgebiet sowie das für IT verantwortliche Sachgebiet ge-
32
fordert. Darüber hinaus ist die Behördenleitung auf die Unterstützung des behördlichen Da-
tenschutzbeauftragten angewiesen, zu dessen Aufgaben u.a. die Unterrichtung und Bera-
tung des Verantwortlichen im Hinblick auf datenschutzrechtliche Regelungen gehört (vgl. Art.
39 Abs. 1 Buchst. a DSGVO). Dem behördlichen Datenschutzbeauftragten können vom Be-
hördenleiter einzelne Aufgaben und Pflichten des Verantwortlichen zur Durchführung über-
tragen werden, allerdings nur, soweit dies mit dem in der Datenschutz-Grundverordnung
vorgesehenen Rollenbild des Datenschutzbeauftragten vereinbar ist und auch nicht zu einem
Interessenkonflikt bei der Wahrnehmung seiner übrigen Datenschutz-Kernaufgaben führt
(Art. 38 Abs. 6 DSGVO).
Unterstützung im Sinne des § 2 bedeutet, dass die genannten Organisationseinheiten in ih-
rem Zuständigkeitsbereich der Behördenleitung zuarbeiten und für diese datenschutzrechtli-
che Pflichten wahrnehmen. Die Weisungs- und Entscheidungshoheit verbleibt dabei bei der
Behördenleitung.
Zu Abs. 2: Die Benennung des behördlichen Datenschutzbeauftragten gehört in der Regel zu
den Aufgaben der Behördenleitung. Ein Muster für die Bestellungsurkunde findet sich in An-
lage 1 der Geschäftsordnung.
Zu § 3 (Organisationssachgebiet)
Zu Abs. 1: Das Organisationssachgebiet ist in einer öffentlichen Stelle für die Leitung aller
innerorganisatorischen Angelegenheiten zuständig und schlägt der Leitung der öffentlichen
Stelle Organisationsverfügungen vor.
Datenschutzrechtliche Aufgaben des Verantwortlichen, die im Zusammenhang mit inneror-
ganisatorischen Fragestellungen stehen, sollten auf das Organisationssachgebiet übertragen
werden. Hierzu gehört die in Art. 24 Abs. 2 DSGVO genannte Aufgabe des Verantwortlichen,
geeignete Datenschutzvorkehrungen vorzusehen. Unter diesem Begriff sind insbesondere
fachverfahrensspezifische Anweisungen an die Beschäftigten sowie interne oder externe
Datenschutz-Richtlinien mit konkreten Handlungsanweisungen zum Umgang mit personen-
bezogenen Daten zu verstehen. Aufgabe des Organisationssachgebiets ist es entsprechen-
de organisatorischen Maßnahmen im Benehmen mit dem behördlichen Datenschutzbeauf-
tragten und dem IT- Sachgebiet zu erarbeiten und der Behördenleitung vorzuschlagen.
33
Zu Abs. 2: Je nach Größe und Struktur der Behörde kann es sich empfehlen, weitere Aufga-
ben auf das Organisationssachgebiet zu übertragen wie beispielsweise die Führung des
Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Bei Datenverarbeitungen im Anwen-
dungsbereich des Art. 28 BayDSG sind nach Art. 31 BayDSG ergänzende Angaben im Ver-
arbeitungsverzeichnis anzugeben. Die Führung des Verarbeitungsverzeichnisses bedeutet in
diesem Zusammenhang die reine Verwaltung des Verarbeitungsverzeichnisses, nicht die
Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten (vgl. zur Übertra-
gungsmöglichkeit auf den behördlichen Datenschutzbeauftragten § 6).
Zu § 4 (IT-Sachgebiet)
Aufgaben des Verantwortlichen im Zusammenhang mit der Gewährleistung der Sicherheit
einschließlich der Vertraulichkeit, Verfügbarkeit und Integrität der Daten sollten innerhalb
einer Behörde auf das IT-Sachgebiet übertragen werden. Hierzu gehört insbesondere die
Einrichtung geeigneter technischer Maßnahmen zur Gewährleistung der Sicherheit der Da-
tenverarbeitung sowie die Pflicht, Technik datenschutzfreundlich einzusetzen und Voreinstel-
lungen so zu wählen, dass nur die für den konkreten Zweck erforderlichen Daten verarbeitet
werden (Art. 24 Abs. 1, Art. 25 und Art. 32 DSGVO). Besondere Kategorien personenbezo-
gener Daten sind als sensible Daten durch angemessene und spezifische Maßnahmen zu
schützen (Art. 8 Abs. 2 BayDSG). Bei Verarbeitungen im Anwendungsbereich der Art. 28 bis
37 BayDSG müssen im Fall von automatisierten Datenverarbeitungen besondere Schutz-
maßnahmen nach Art. 32 Abs. 2 BayDSG getroffen werden, Art. 32 Abs. 3 und 4 DSGVO
sind nicht anwendbar, vgl. Art. 32 Abs. 1 BayDSG 2018. Beabsichtigte Maßnahmen müssen
vor ihrem Erlass mit dem Organisationssachgebiet und den jeweils betroffenen Fachsachge-
bieten bzw. der Behördenleitung abgestimmt werden.
Das nach dem Bayerischen E-Government-Gesetz zu erstellende Informationssicherheits-
konzept kann in diesem Zusammenhang wichtige Grundlagen und Anhaltspunkte liefern.
Zu § 5 (Fachsachgebiete)
Zu Abs. 1: Die Fachsachgebiete sind innerhalb ihres Fachbereichs dafür verantwortlich, dass
personenbezogene Daten im Einklang mit datenschutzrechtlichen Vorgaben verarbeitet wer-
den. Findet sich in der Geschäftsordnung keine ausdrückliche Zuständigkeitszuweisung an
eine andere Organisationseinheit, sind die jeweiligen Fachsachgebiete für die Wahrnehmung
der datenschutzrechtlichen Aufgabe zuständig.
34
Zu Abs. 2: Darüber hinaus liegt die Zuständigkeit für die Erfüllung der Rechte der betroffenen
Personen nach Art. 15 bis Art. 22 DSGVO bei den Fachsachgebieten. Die Fachsachgebiete
müssen im ihrem Fachbereich dafür Sorge tragen, dass Anträge der betroffenen Personen
zügig bearbeitet und hierüber rechtzeitig innerhalb der europarechtlich vorgegebenen Fristen
nach Art. 12 Abs. 3 DSGVO entschieden wird. Der behördliche Datenschutzbeauftragte ist
vor der abschließenden Entscheidung über die Betroffenenrechte in aller Regel zu beteiligen.
Bei Datenverarbeitungen im Anwendungsbereich des Art. 28 BayDSG sind die Rechte der
betroffenen Personen im jeweiligen Fachrecht geregelt.
Zu Abs. 3: Als Teil der öffentlichen Stelle unterliegt auch der Personalrat grundsätzlich da-
tenschutzrechtlichen Anforderungen und sollte deshalb wie ein Fachsachgebiet behandelt
werden. Hierbei ist jedoch die besondere Stellung des Personalrats zu berücksichtigen. Es
empfiehlt sich, die Regelung jeweils im Vorfeld der Verabschiedung der Geschäftsordnung
mit der zuständigen Personalvertretung im Wege der vertrauensvollen Zusammenarbeit ab-
zustimmen.
Zu § 6 (Behördlicher Datenschutzbeauftragter)
Dem behördlichen Datenschutzbeauftragten werden in DSGVO und im BayDSG eine Reihe
von Aufgaben zugewiesen. Diese Mindestaufgaben sind in der als Anlage 2 beigefügten
Übersicht aufgeführt und mit konkretisierenden Beispielen versehen. Hinzu können ferner
fachgesetzlich geregelte Aufgaben kommen.
Bei Gerichten erstreckt sich die Zuständigkeit des behördlichen Datenschutzbeauftragten
nicht auf Verarbeitungen im Rahmen ihrer justiziellen Tätigkeit (Art. 37 Abs. 1 Buchstabe a
DSGVO).
Neben den gesetzlich zugewiesenen Aufgaben können auf den behördlichen Datenschutz-
beauftragten weitere Aufgaben übertragen werden. Von einer Übertragung ist abzusehen,
wenn diese nicht mit der in der DSGVO enthaltenen Rollenbeschreibung des Datenschutz-
beauftragten vereinbar ist; insbesondere darf die Aufgabenübertragung nicht zu einem Inte-
ressenkonflikt führen (Art. 38 Abs. 6 DSGVO).
Neben der Übertragung von Koordinationsaufgaben bei der Erfüllung der Rechte der be-
troffenen Personen und der Begleitung der Durchführung einer Datenschutz-
Folgenabschätzung, dem Abhalten von Schulungen sowie Umsetzung von Meldungen und
35
Benachrichtigungen nach Art. 33 f. DSGVO kommt insbesondere die Übertragung der Füh-
rung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO auf den behördlichen Daten-
schutzbeauftragten in Betracht. Die Führung des Verarbeitungsverzeichnisses bedeutet in
diesem Zusammenhang die reine Verwaltung des Verarbeitungsverzeichnisses. Für die Er-
stellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten sowie für die Richtigkeit,
Vollständigkeit und Aktualität des Verarbeitungsverzeichnisses bleiben die Behördenleitung,
das Organisationssachgebiet bzw. die Fachsachgebiete zuständig.
Im Anwendungsbereich des Art. 28 BayDSG sind die Rechte der betroffenen Person im
Fachrecht geregelt. Die Regelungen nach Art. 30 und Art. 33 DSGVO werden ergänzt durch
die Bestimmungen in Art. 31 und Art. 33 BayDSG.
Dritter Teil: Zusammenarbeit
Zu § 7 (Zusammenarbeit und gegenseitige Information )
§ 7 Abs. 1 dient der Sicherstellung des gegenseitigen Austausches und Informationsflusses
zwischen dem Organisationssachgebiet, dem IT-Sachgebiet und dem behördlichen Daten-
schutzbeauftragten. Als geeignetes Verfahren der Zusammenarbeit kommt beispielsweise
die Einrichtung eines Jour Fixe in Betracht.
Zugleich wird mit der Regelung die Unterrichtung der Behördenleitung von wesentlichen da-
tenschutzrechtlich relevanten Vorgängen gewährleistet.
Abs. 2 stellt zudem den Informationsfluss sicher für den Fall, dass einem Beschäftigten ein
Datenschutzverstoß bekannt wird. Handelt es sich bei dem Verstoß um eine Datenschutz-
verletzung im Sinne von Art. 4 Nr. 12 DSGVO, regelt § 12 das weitere Verfahren.
Vierter Teil: Datenschutzrechtliche Ablauforganisat ion
36
Der vierte Teil enthält ablauforganisatorische Regelungen, die die Einhaltung datenschutz-
rechtlicher Vorschriften in verfahrensrechtlicher Hinsicht absichern sollen. §§ 8 bis 11 enthal-
ten allgemeine Verfahrensregelungen, §§ 12 ff. regeln besondere Verfahrensbestimmungen
zur Gewährleistung besonderer datenschutzrechtlicher Pflichten, die durch die DSGVO neu
begründet oder modifiziert wurden.
Zu § 8 (Information der Beschäftigten)
Die Beschäftigten sollten für den Umgang mit personenbezogenen Daten sensibilisiert wer-
den. Dies kann beispielsweise über Richtlinien zum Datenschutz erfolgen, die konkrete
Handlungsanweisungen zum Umgang mit personenbezogenen Daten vorsehen oder durch
Informationsmaterial zum Datenschutz etc.
Zu § 9 (Beteiligung des behördlichen Datenschutzbea uftragten)
§ 9 gewährleistet die frühzeitige Einbindung des behördlichen Datenschutzbeauftragten bei
allen wesentlichen datenschutzrechtlich relevanten Verfahrensabläufen (vgl. Art. 38 Abs. 1
DSGVO). Insbesondere wenn in der Behörde grundsätzliche oder schwierige datenschutz-
rechtliche Fragestellungen auftreten, ist der behördliche Datenschutzbeauftragte hierüber zu
informieren und es ist ihm Gelegenheit zur Stellungnahme einzuräumen sowie ggf. die Teil-
nahme an Besprechungen zu ermöglichen. Vorlagen, die grundsätzliche oder schwierige
datenschutzrechtliche Fragestellungen behandeln, sind ihm gleichfalls mit der Gelegenheit
zur Stellungnahme zuzuleiten.
In jedem Fall ist dem behördlichen Datenschutzbeauftragten vor dem erstmaligen Einsatz
oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbe-
zogene Daten verarbeitet werden, sowie vor dem Einsatz einer Videoüberwachung Gele-
genheit zur Stellungnahme zu geben (Art. 12, 24 BayDSG).
Eine Beteiligung des behördlichen Datenschutzbeauftragten im Vorfeld der Beschaffung von
IT-Hard- und Software ist nur erforderlich, wenn datenschutzrechtlich bedeutsame Anschaf-
fungen geplant werden.
Zu § 10 (Datenschutzbericht)
Zu den Aufgaben des behördlichen Datenschutzbeauftragten gehört auch die Überwachung
der Einhaltung der Vorgaben der DSGVO nach Art. 39 Abs. 1 Buchst. b DSGVO. Der Daten-
37
schutzbeauftragte hat zudem unmittelbar der Behördenleitung zu berichten (vgl. Art. 38 Abs.
3 Satz 3 DSGVO). Zugleich verpflichtet Art. 24 Abs. 1 Satz 2 DSGVO den Verantwortlichen,
die umgesetzten technisch-organisatorischen Maßnahmen erforderlichenfalls zu überprüfen
und zu aktualisieren. Durch den in § 10 vorgesehenen Bericht wird den beiden miteinander
verschränkten Verpflichtungen des behördlichen Datenschutzbeauftragten und des Verant-
wortlichen durch ein Verfahren Rechnung getragen, das eine regelmäßige Beurteilung der
Datenschutzorganisation einer Behörde gewährleistet. Soweit dies auch auf andere Weise
sichergestellt wird, können die in § 10 vorgeschlagenen Berichtszeiträume verlängert oder
der Bericht durch ein anderes geeignetes Verfahren zur regelmäßigen Beurteilung des Da-
tenschutzes ersetzt werden (z.B. durch regelmäßige Besprechungen, in denen die in § 10
Satz 2 und 3 genannten Punkte erörtert werden).
Zu § 11 (Gewährleistung der Richtigkeit und Vollstä ndigkeit des Verarbeitungsver-
zeichnisses)
§ 11 enthält Verfahrensregelungen, die der Sicherstellung der Vollständigkeit und Aktualität
des Verarbeitungsverzeichnisses dienen.
Zu § 12 (Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO)
§ 12 regelt das Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO und
stellt die Beteiligung der zuständigen Organisationseinheiten sicher. Sowohl das Meldever-
fahren nach Art. 33 DSGVO als auch das Benachrichtigungsverfahren nach Art. 34 DSGVO
knüpfen an den Begriff der Datenschutzverletzung an. Eine Meldung an die Aufsichtsbehör-
de nach Art. 33 DSGVO ist nicht schon bei jedem Datenschutzverstoß erforderlich, sondern
nur bei Sicherheitsverletzungen, die, ob beabsichtigt oder unrechtmäßig, zur Vernichtung,
zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten
Zugang zu personenbezogenen Daten geführt haben, die übermittelt, gespeichert oder auf
sonstige Weise verarbeitet wurden (vgl. Art. 4 Nr. 12 DSGVO). Eine Benachrichtigung der
betroffenen Person nach Art. 34 DSGVO ist nur bei Datenschutzverletzungen, die voraus-
sichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen
zur Folge haben, notwendig. Ausnahmen sind in Art. 13 BayDSG geregelt. Bei Datenverar-
beitungen nach Art. 28 BayDSG ist ergänzend Art. 33 BayDSG zu berücksichtigen.
Die Umsetzung der Meldung der Datenschutzverletzung an die Aufsichtsbehörde sowie die
Benachrichtigung der betroffenen Person kann auf den behördlichen Datenschutzbeauftrag-
38
ten nach § 6 übertragen werden. Ein Online-Formular zur Meldung von Datenschutzverlet-
zungen an den Landesbeauftragten für den Datenschutz, das auch eine Übersicht typisch
vorkommender Datenschutzverletzungen beinhaltet, findet sich auf der Homepage des Lan-
desbeauftragten für den Datenschutz unter https://www.datenschutz-
bayern.de/service/data_breach.html.
Zu § 13 (Auftragsverarbeitung)
§ 13 trifft Verfahrensbestimmungen zur Auftragsverarbeitung nach Art. 28 DSGVO. Bei Da-
tenverarbeitungen nach Art. 28 BayDSG sind die Maßgaben nach Art. 28 Abs. 2 Satz 1 Nr. 3
BayDSG zu beachten.
Zu § 14 (Vertrauliche Meldung von Datenschutzverstö ßen nach Art. 36 BayDSG)
§ 14 enthält eine verfahrensrechtliche Bestimmung zur vertraulichen Meldung von Daten-
schutzverstößen nach Art. 32 BayDSG. Sie ist nur relevant bei Datenverarbeitungen im An-
wendungsbereich der Art. 28 bis 37 BayDSG.
Fünfter Teil: Schlussvorschriften
Zu § 15 (Inkrafttreten)
Die Vorschrift legt das Inkrafttreten der Geschäftsordnung auf den Zeitpunkt der unmittelba-
ren Geltung der DSGVO fest.
39
4.3 Anlage 1 (zu § 2)
Benennung als behördliche Datenschutzbeauftragte/be hördlicher Datenschutzbe-
auftragter
(Bezeichnung der öffentlichen Stelle)
Urkunde
Hiermit benenne ich
Frau/Herrn
(Amtsbezeichnung) (Vorname) (Name)
mit Wirkung vom (Datum des Wirksamwerdens der Bestellung)
alternativ: für die Dauer vom (Datum) bis zum (Datum)
als behördliche Datenschutzbeauftragte/behördlichen Datenschutzbeauftragten der/des (Be-
zeichnung der öffentlichen Stelle)
Gleichzeitig übertrage ich ihr/ihm die in der Datenschutz-Dienstanweisung/Datenschutz-
Geschäftsordnung der/des (Bezeichnung der öffentlichen Stelle) vom (Datum)
festgelegten Aufgaben.
(Ort/Datum) (Bezeichnung der öffentlichen Stelle)
Unterschrift
(Name und Amtsbezeichnung des Unterzeichners)
40
4.4 Anlage 2 (zu § 6)
Aufgaben des behördlichen Datenschutzbeauftragten
Die Aufgaben des/der Datenschutzbeauftragten umfass en:
(siehe Kennzeichnung)
I. Gesetzliche Aufgaben
Rechts -
grundlage
I. 1. Unterrichtung und Beratung des Verantwortlichen ode r des Au f-
tragsverarbeiters und der Beschäftigten, die Verarb eitungen durchführen,
hinsichtlich ihrer Pflichten, die sich aus dem Date nschutzrecht (DSGVO
sowie allgemeine und bereichsspezifische nationale Datenschutzregelun-
gen) ergeben.
Dies umfasst insbesondere:
I.1.1. Unterrichtung des Verantwortlichen, des Auftragsverarbeiters und der Be-
schäftigten der Behörde über die grundlegenden Bestimmungen des Daten-
schutzes und ihre jeweiligen Pflichten sowie Information bei gesetzlichen Neue-
rungen
I.1.2. Datenschutzrechtliche Beratung hinsichtlich aller mit dem Schutz perso-
nenbezogener Daten zusammenhängenden Fragestellungen und Aktivitäten, u.a.
• bei der Erstellung der Verarbeitungsbeschreibungen
• bei der Einführung neuer automatisierter Verfahren, mit denen perso-
nenbezogene Daten verarbeitet werden sollen oder wesentlichen Ände-
rungen
• bei Planungen und Entwürfen von Verträgen zur Auftragsverarbeitung
• hinsichtlich der Pflichten, insbesondere Informations- und Auskunfts-
pflicht, in Bezug auf die Rechte betroffener Personen nach Art 13 ff.
DSGVO
• hinsichtlich Meldungen bei Verletzung des Schutzes personenbezogener
Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und Benachrichtigun-
gen (Art. 34 DSGVO)
I.1.3. Beantwortung von Anfragen und Einzelberatung von Beschäftigten in allen
Fragen des Schutzes personenbezogener Daten
I.1.4. Zusammenarbeit mit dem IT-Sicherheitsbeauftragten bzw. IT-
Verantwortlichen
I.1.5. Beratung des Verantwortlichen bei der Erstellung von Dienstanweisungen
Art. 39 Abs. 1
Buchst. a
DSGVO
41
und Dienstvereinbarungen mit Bezug zum Schutz personenbezogener Daten
I.2.6. Beratung bei der Erstellung eines IT-Sicherheitskonzeptes der Behörde zu
Anforderungen, die sich aus den Bestimmungen zum Schutz personenbezogener
Daten ergeben
I.2. Überwachung der Einhaltung der DSGVO und natio naler Datenschut z-
vorschriften sowie der Strategien des Verantwortlic hen oder des Auf-
tragsverarbeiters für den Schutz personenbezogener Daten einschließlich
der Zuweisung von Zuständigkeiten, der Sensibilisie rung und Schulung der
an den Verarbeitungsvorgängen beteiligten Mitarbeit er und diesbezügliche
Überprüfungen
Dies umfasst insbesondere:
I.2.1. Überwachung der Einhaltung der Datenschutzvorschriften sowie der be-
hördeninternen Vorgaben zum Schutz personenbezogener Daten
(Datenschutz-Dienstanweisung)
1.2.2. Überwachung und Kontrolle der Einhaltung datenschutzrechtlicher Vor-
schriften bei der Ausführung der in den Verarbeitungsbeschreibungen dokumen-
tierten Verarbeitungstätigkeiten
I.2.3. Überwachung und Kontrolle der Einhaltung der in den Verarbeitungsbe-
schreibungen dokumentierten technischen und organisatorischen Maßnahmen
zum Schutz personenbezogener Daten und zur Datensicherheit in Zusammenar-
beit mit dem Verantwortlichen, der IT-Abteilung und dem IT-Sicherheitsbeauftrag-
ten
I.2.4. Prüfung und Stellungnahme zur Einhaltung der gesetzlichen Bestimmun-
gen zum Schutz personenbezogener Daten in Verträgen zur Auftragsverarbei-
tung
• bei der Umstellung von bestehenden Verträgen auf die neuen gesetzli-
chen Grundlagen
• bei vom Verantwortlichen geplanten Abschluss neuer Verträge zur Auf-
tragsverarbeitung
I.2.5. Überwachung und Kontrolle der Einhaltung der in den Verträgen zur Auf-
tragsverarbeitung dokumentierten Vorgaben zum Schutz personenbezogener
Daten, einschließlich der technischen und organisatorischen Maßnahmen durch
den Auftragsverarbeiter in Zusammenarbeit mit dem Verantwortlichen, der IT-
Abteilung und dem IT-Sicherheitsbeauftragten
1.2.6 Fertigung von Stellungnahmen zu Datenschutzproblemen von Verwal-
tungsbereichen auf Anfrage oder in Eigeninitiative
1.2.7 Überwachung der Strategien des Verantwortlichen oder des Auftragsverar-
Art. 39 Abs. 1
Buchst. b
DSGVO
42
beiters für den Schutz personenbezogener Daten, auch im Hinblick auf Sensibili-
sierung und Schulung derjenigen Beschäftigten, die an Verarbeitungsvorgängen
beteiligt sind, bzw. diesbezügliche Überprüfungen
I.3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz -
Folgenabschätzung und Überwachung ihrer Durchführun g gemäß Art. 35
DSGVO
I.3.1. Beratung auf Anfrage des Verantwortlichen hinsichtlich der Grundlagen und
Erfordernisse von Datenschutz-Folgenabschätzungen
I.3.2. Überwachung der ordnungsgemäßen Durchführung von Datenschutz-
Folgenabschätzungen
Art. 39 Abs. 1
Buchst. c
DSGVO
I.4. Zusammenarbeit mit der Aufsichtsbehörde
Art. 39 Abs. 1
Buchst. d
DSGVO
I.5. Tätigkeit als Anlaufstelle für die Aufsichtsbe hörde in mit der Verarbe i-
tung zusammenhängenden Fragen, einschließlich der v orherigen Konsulta-
tion gemäß Art 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen
Fragen
Art. 39 Abs. 1
Buchst. e
DSGVO
I.6. Beratung betroffener Personen zu allen mit der Verarbeitung ihrer pe r-
sonenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß
DSGVO im Zusammenhang stehenden Fragen
Art. 38 Abs. 4
DSGVO
I.6.1. Beratung betroffener Personen - auf Anfrage
I.6.2. Weiterleitung von Anfragen, Auskunftsersuchen und Beschwerden an den
Verantwortlichen und Überwachung der Erledigung/Beantwortung durch ihn
I.7. Stellungnahme vor dem erstmaligen Einsatz oder einer wesentlichen
Änderung eines automatisierten Verfahrens, mit dem personenbezogene
Daten verarbeitet werden.
Art. 12
BayDSG
I.8.Stellungnahme vor dem Einsatz geplanter Videoüberwachungen, insb e-
sondere hinsichtlich Zweck, räumlicher Ausdehnung, Dauer der Video-
überwachung, betroffenem Personenkreis, vorgesehene r Maßnahmen zur
Kenntlichmachung und vorgesehener Auswertungen
Art. 24 Abs. 5
BayDSG
43
I.9. Erstellung von Beric hten und Meldungen an die Behördenleitung
I.9.1. Anlassbezogene Einzelmeldungen bei Feststellungen von Verletzungen
des Schutzes personenbezogener Daten, insbesondere wenn die Verletzung
voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Perso-
nen führt
I.9.2. Erstellung von regelmäßigen Berichten zur Datenschutz-Situation der Be-
hörde an die Behördenleitung, zu den in der Dienstanweisung Datenschutz fest-
gelegten Terminen
Art. 38 Abs. 3
Satz 3
DSGVO
I.10. Regelmäßige eigene Fortbildun g zum Datenschutz
Ort, Datum
Unterschrift
Behördenleiter/in
4.5 Anlage 3 (zu § 11)
(1) Siehe Muster unter Nummer 5.4 (Muster einer Beschreibung einer Verarbei-
tungstätigkeit nach Art. 30 Abs. 1 DSGVO und Art. 31 BayDSG).
44
5. Das Verzeichnis der Verarbeitungstätigkei-ten
Die Datenschutz-Grundverordnung (DSGVO) verlangt von jeder öffentlichen Stelle den
Nachweis, dass die von ihr oder in ihrem Auftrag vorgenommenen Verarbeitungen perso-
nenbezogener Daten im Einklang mit den datenschutzrechtlichen Vorschriften erfolgen („Re-
chenschaftspflicht“, vgl. Art. 5 Abs. 2 DSGVO). Als ein wesentlicher Bestandteil dieser Re-
chenschaftspflicht sind ab dem 25. Mai 2018 alle „Verarbeitungstätigkeiten“ einer öffentlichen
Stelle in einem Verzeichnis (Verarbeitungsverzeichnis) schriftlich oder elektronisch zu doku-
mentieren (Art. 30 Abs. 1 DSGVO).
Das Verarbeitungsverzeichnis ist zentraler Ausgangspunkt für den Vollzug des Datenschutz-
rechts. In ihm wird dokumentiert, welche Kategorien von personenbezogenen Daten verar-
beitet werden. Auskunftsersuchen der betroffenen Personen nach Art. 15 DSGVO können
beispielsweise nur bearbeitet werden, wenn die öffentliche Stelle weiß, welche Daten sie
über welche Personen verarbeitet. Auch für die Erstellung von Formularen, mit denen bei
den Bürgern Daten erhoben werden, sind die Angaben im Verarbeitungsverzeichnis hilfreich,
da nach Art. 13 Abs. 1 und 2 DSGVO in Erhebungsformularen weitgehend gleiche Angaben
zu machen sind.
Das Verarbeitungsverzeichnis ist nach Art. 30 Abs. 1 DSGVO vom Verantwortlichen zu füh-
ren, also von der öffentlichen Stelle, die personenbezogene Daten verarbeitet. Der behördli-
che Datenschutzbeauftragte hat nach Art. 12 Abs. 1 Satz 1 Nr. 1 BayDSG Zugang zu dem
Verzeichnis. Dies kann auch durch einen Online-Zugriff auf ein elektronisch geführtes Ver-
zeichnis geschehen.
Das Verarbeitungsverzeichnis ist aktuell zu halten. Insofern sollte die öffentliche Stelle dafür
Sorge tragen, dass die das Verzeichnis führende Organisationseinheit von Änderungen bei
bereits in das Verzeichnis aufgenommenen Verarbeitungstätigkeiten ebenso zeitnah erfährt
wie von der Etablierung neuer Verarbeitungstätigkeiten, die einer Aufnahme in das Ver-
zeichnis bedürfen. Die Zusammenarbeit mit der das Verzeichnis führenden Organisations-
einheit sollte möglichst in einer Dienstanweisung geregelt werden.
Dem Landesbeauftragten für den Datenschutz ist auf Anforderung das Verarbeitungsver-
zeichnis – bei einem elektronisch geführten Verzeichnis gegebenenfalls in Form von Ausdru-
cken – zur Verfügung zu stellen.
45
5.1 Welche öffentlichen Stellen müssen ein Verarbei tungsverzeichnis führen?
Alle öffentlichen Stellen, die personenbezogene Daten ganz oder teilweise automatisiert ver-
arbeiten oder bei denen Daten in einem Dateisystem gespeichert sind oder gespeichert wer-
den sollen, müssen ein Verarbeitungsverzeichnis führen. Unerheblich ist, ob die Verarbei-
tung durch die öffentliche Stelle selbst erfolgt oder von einem Auftragsverarbeiter durchge-
führt wird. Die in Art. 30 Abs. 5 DSGVO enthaltenen Ausnahme von der Pflicht zur Führung
des Verzeichnisses für „Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter
beschäftigen“ ist auf öffentliche Stellen nicht anwendbar.
5.2 Weiterverwendung vorhandener Verfahrensverzeich nisse
Als Grundlage für die Erstellung des Verarbeitungsverzeichnisses können das bisher für au-
tomatisierte Verfahren nach Art. 27 BayDSG geführte Verfahrensverzeichnis bzw. die bei der
Polizei geführten Errichtungsanordnungen dienen. Die nun nach Art. 30 Abs. 1 DSGVO und
die bisher nach Art. 27 Abs. 2 i. V. m. Art. 26 Abs. 2 BayDSG erforderlichen Angaben sind in
weiten Teilen deckungsgleich. Ist das Verfahrensverzeichnis ordnungsgemäß geführt und
liegen Verfahrensbeschreibungen vor, kann das Verfahrensverzeichnis in der Regel mit
überschaubarem Aufwand in das neue Verarbeitungsverzeichnis überführt werden. Zusätz-
lich aufzunehmen sind bei automatisierten Verarbeitungstätigkeiten insbesondere der Name
und die Kontaktdaten des Datenschutzbeauftragten (siehe Art. 30 Abs. 1 Satz 2 Buchst. a
DSGVO), die Kategorien von Empfängern nicht nur im Fall regelmäßiger Übermittlungen
(Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO) sowie eine allgemeine Beschreibung der techni-
schen und organisatorischen Maßnahmen.
Neu in das Verarbeitungsverzeichnis aufzunehmen sind – anders als bisher beim Verfah-
rensverzeichnis – auch nichtautomatisierte Verarbeitungstätigkeiten, soweit dabei personen-
bezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl.
die Erläuterungen zum anliegenden Formblatt).
5.3 Keine Veröffentlichungspflicht, kein Recht auf Einsichtnahme
Eine Veröffentlichung des Verarbeitungsverzeichnisses ist von der DSGVO nicht vorgese-
hen. Im Hinblick auf die dort enthaltene Beschreibung der technischen und organisatorischen
Maßnahmen könnte eine solche Veröffentlichung auch Geheimhaltungsinteressen berühren.
Ein Recht auf Einsichtnahme in das Verzeichnis enthält die DSGVO ebenfalls nicht. Aus-
kunftsersuchen des Betroffenen, ob und ggf. welche Daten zu seiner Person von der öffentli-
chen Stelle verarbeitet werden, sind ab dem 25. Mai 2018 nach Art. 15 DSGVO zu bearbei-
46
ten. Wie andere Behördeninformationen unterliegt das Verzeichnis allerdings auch den all-
gemeinen Informationszugangsrechten, so dass Auskunftsbegehren über den Inhalt der Ver-
zeichnisse ab diesem Zeitpunkt nach Art. 39 BayDSG und ggf. nach Maßgabe der dort fest-
gelegten Anspruchsbegrenzungen und Ausschlusstatbeständen zu beurteilen sind.
47
5.4 Muster einer Beschreibung einer Verarbeitungstä tigkeit nach Art. 30 Abs. 1 DSGVO und
Art. 31 BayDSG
1. Allgemeine Angaben Bezeichnung der Verarbeitungstätigkeit
Aktenzeichen
Stand:
Verantwortlicher ( Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer der öffentlichen Stelle)
Falls zutreffend: Angaben zu weiteren gemeinsam für die Verarbeitung Verantwortlichen (jeweils Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer)
Behördlicher Datenschutzbeauftragter (Name, dienstliche Anschrift, E-Mail-Adresse, Telefonnummer)
2. Zwecke und Rechtsgrundlagen der Verarbeitung Zwecke
Rechtsgrundlagen
3. Kategorien der personenbezogenen Daten Lfd. Nr. Bezeichnung der Daten
4. Kategorien der betroffenen Personen Lfd. Nr. Betroffene Personen
5. Kategorien der Empfänger, denen die personenbezo genen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger i n Drittländern oder internationalen Organi-sationen
Lfd. Nr. Empfänger Anlass der Offenlegung
6. Falls zutreffend: Übermittlungen von personenbez ogenen Daten an ein Drittland oder an eine internationale Organisation
Lfd. Nr. Drittland oder internationale Organi-sation
Geeignete Garantien im Falle einer Übermittlung nac h Art. 49 Abs. 1 Unterabsatz 2 DSGVO
7. Vorgesehene Fristen für die Löschung der verschi edenen Datenkategorien Lfd. Nr. Löschungsfrist
48
8. Allgemeine Beschreibung der technischen und orga nisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO, ggf. einschließlich der Maßnahmen nac h Art. 8 Abs. 2 Satz 2 BayDSG
Weitere Angaben
9. Nur für Polizei- und Strafjustizbehörden Erfolgt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO?
☐ Ja ☐ Nein
Falls ja: Welche Art von Profiling wird durchgeführt ?
Besteht für die Verarbeitung eine Errichtungsanordnu ng?
☐ Ja, ☐ Nein Falls ja, bitte Datum und Aktenzeichen angeben
10. Verantwortliche Organisationseinheit Dienststelle / Sachgebiet / Abteilung
11. Datenschutz-Folgenabschätzung Ist für die Form der Verarbeitung eine Datenschutz-F olgenabschätzung nach Art. 35 DSGVO erforderlich?
☐ Ja, ☐ Nein Falls ja, bis wann durchzuführen oder zu überprüfen
Begründung
12. Stellungnahme des behördlichen Datenschutzbeauf tragten Liegt eine Stellungnahme des behördlichen Datenschut zbeauftragten vor?
☐ Ja ☐ Nein
Ggf. nähere Erläuterung
- 49 -
5.5 Erläuterungen zum Muster
Welche Verarbeitungstätigkeiten sind in das Verzeic hnis aufzunehmen?
Aufzunehmen sind alle ganz oder teilweise automatisierten Verarbeitungstätigkei-
ten – also alle Verarbeitungstätigkeiten, die ganz oder teilweise mit Hilfe von IT-
Systemen erfolgen.
Nichtautomatisierte Verarbeitungstätigkeiten sind aufzunehmen, soweit die perso-
nenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert
werden sollen (Art. 2 Abs. 1 DSGVO, Art. 2 Satz 2 BayDSG).
„Dateisystem“ ist nach Art. 4 Nr. 6 DSGVO jede strukturierte Sammlung perso-
nenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Diese Voraus-
setzung wird regelmäßig vorliegen, wenn eine strukturierte Verarbeitungstätigkeit
schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert
wird, wie dies bei Behörden üblich ist (vgl. z.B. § 12 ff. der Allgemeinen Ge-
schäftsordnung für die Behörden des Freistaates Bayern – AGO). Insbesondere
die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwal-
tungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbei-
tungsverzeichnis.
Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungstätigkeiten ausrei-
chend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der „Ver-
arbeitungstätigkeit“ umfasst alle Verarbeitungsschritte, Vorgänge und Vorgangs-
reihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht zu jedem ein-
zelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe ein eige-
ner Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Ver-
zeichniseintrag für die durch den Zweck gleichsam „verklammerte“ Verarbeitungs-
tätigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur unter-
geordnete Hilfsfunktion haben und damit keinem eigenen neuen Zwecken, son-
dern letztlich nur dem Zweck der eigentlichen Verarbeitungstätigkeit dienen, nicht
gesondert aufgeführt werden.
Beispiele für aufzunehmende Verarbeitungstätigkeiten:
- Führung des Melderegisters
- Führung des Gewerberegisters
- Personalaktenverwaltung
- Beihilfebearbeitung
- 50 -
- Wohngeldbearbeitung
- Bearbeitung von Bauanträgen
- Zeiterfassung
- Einzelne Videoüberwachungen (auch mit mehreren Kameras, soweit an
einem Ort)
- Durchführung von Wahlen und Abstimmungen
- Fahrerlaubnisverwaltung
- Kfz-Zulassung
Zu Nr. 1 (Allgemeine Angaben)
(Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO)
Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein und
den jeweiligen Zweck erkennen lassen. Beispiele siehe oben.
„Verantwortlicher“ ist die Behörde oder sonstige öffentliche Stelle, die selbst oder
mittels eines Auftragsverarbeiters die Verarbeitung durchführt. Die in Art. 30
Abs. 1 Satz 2 Buchst. a DSGVO genannten „Vertreter“ beziehen sich auf den Ver-
treter im Sinne von Art. 4 Nr. 17 DSGVO und sind damit für öffentliche Stellen
nicht relevant.
„Gemeinsam für die Verarbeitung Verantwortliche“ liegen vor, wenn zwei oder
mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung fest-
legen (Art. 26 DSGVO).
Als „Anschrift“ ist jeweils Postleitzahl, Ort, Straße und Hausnummer anzugeben.
Zu Nr. 2 (Zwecke und Rechtsgrundlagen der Verarbeit ung)
(Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO; Art. 31 BayDSG)
Die Angabe der Rechtsgrundlagen der Verarbeitungstätigkeit geht über die in
Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Mindestangaben hinaus. Die Angabe
dient dem Nachweis, dass diese Frage geprüft wurde. Für Verarbeitungen im An-
wendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz (Richtlinie
(EU) 2016/680, vgl. Art. 28 Abs. 1 BayDSG) ist die Angabe der Rechtsgrundlagen
demgegenüber verpflichtend (Art. 31 BayDSG).
Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4
Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbestände nach
Art. 6 – bei besonderen Kategorien personenbezogener Daten in Verbindung mit
Art. 9 DSGVO und Art. 8 BayDSG - in Betracht.
- 51 -
Zu Nr. 3 (Kategorien der personenbezogenen Daten)
(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)
Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und
Vorname“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B.
Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme
auf beigefügte Beschreibungen von Datensätzen ist zulässig, wenn aus diesen die
personenbezogenen Daten eindeutig hervorgehen.
Zu Nr. 4 (Kategorien der betroffenen Personen)
(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)
Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen
sind. Beispiel: „Bauantragsteller“ oder „Beihilfeberechtigte und deren Angehörige“.
Anzugeben sind auch Personengruppen innerhalb der öffentlichen Stellen, deren
Daten verarbeitet werden. Beispiel: „Sachbearbeiter im Bauamt“.
Zu Nr. 5 (Kategorien der Empfänger)
(Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO)
Nach Art. 4 Nr. 9 DSGVO ist Empfänger „eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offenge-
legt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder
nicht“. Zu den Empfängern gehören daher auch Auftragsverarbeiter sowie Stellen
innerhalb der Behörde, denen die Daten weitergegeben werden oder die Zugriff
auf die Daten haben.
Zu beachten ist ferner die Ausnahmeregelung des Art 4 Nr. 9 Satz 2 DSGVO, wo-
nach Behörden unter bestimmten, in dieser Vorschrift genannten Voraussetzun-
gen nicht als Empfänger gelten.
Zu Nr. 6 (Übermittlungen von personenbezogenen Date n an ein Drittland
oder an eine internationale Organisation)
(Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO)
Als Drittländer werden alle Länder außerhalb der Europäischen Union oder des
Europäischen Wirtschaftsraumes bezeichnet. Im Falle einer Übermittlung an ein
Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2
DSGVO sind die geeigneten Garantien in Bezug auf den Schutz personenbezo-
gener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf ergänzen-
- 52 -
de Dokumente verwiesen werden.
Zu Nr. 7 (Vorgesehene Fristen für die Löschung der verschiedenen Datenka-
tegorien)
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die
Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der „Speicher-
begrenzung“, Art. 5 Abs. 1 Buchst. e DSGVO). Gespeicherte Daten sind daher
unverzüglich zu löschen, sobald sie für die Aufgabenerfüllung der öffentlichen
Stelle nicht mehr erforderlich sind (vgl. DSGVO-Erwägungsgrund 39). Der Ver-
antwortliche sollte daher Fristen für die Löschung oder regelmäßige Überprüfung
der personenbezogenen Daten vorsehen (vgl. DSGVO-Erwägungsgrund 39).
Fachgesetzliche Regelungen sind zu beachten.
Über den eigentlichen Speicherungsanlass hinaus (z.B. zur Bearbeitung eines
Antrags auf Baugenehmigung) kann eine Speicherung auch zur Erfüllung von Do-
kumentationspflichten erforderlich sein.
Anzugeben ist auch der Beginn der Löschungsfrist. Vor einer Löschung von Daten
sind die archivrechtlichen Anbietungspflichten zu beachten.
Zu Nr. 8 (Allgemeine Beschreibung der technischen u nd organisatorischen
Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO ggf. eins chließlich der Maß-
nahmen nach Art. 8 Abs. 2 Satz 2 BayDSG)
(Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO; Art. 8 Abs. 2 Satz 2 BayDSG)
Hier sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1
DSGVO allgemein zu beschreiben. Trotz der in Art. 30 Abs. 1 Satz 2 Buchst. g
DSGVO verwendeten Formulierung „wenn möglich“ hat der Verantwortliche hier in
aller Regel Angaben zu machen, da er ohnehin verpflichtet ist, „geeignete techni-
sche und organisatorische Maßnahmen“ zu treffen. Entsprechende Informationen
werden dem Verantwortlichen daher in aller Regel vorliegen.
Eine Beschreibung von Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG ist erfor-
derlich, wenn besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1
DSGVO verarbeitet werden.
Aus datenschutzrechtlicher Sicht zentral ist insbesondere die Fähigkeit, die Ver-
traulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste im Zusammen-
hang mit der Verarbeitung auf Dauer sicherzustellen. Es ist zulässig und oft auch
ausreichend, wenn dazu und im Hinblick auf die weiteren in Art. 32 Abs. 1 DSGVO
- 53 -
genannten Maßnahmen auf ein vorhandenes Informationssicherheitskonzept ver-
wiesen wird (vgl. Art. 11 Abs. 1 Satz 2 Bayerisches E-Government-Gesetz).
Zu Nr. 9. (Nur für Verarbeitungen durch Polizei- un d Strafjustizbehörden)
(Art. 31 BayDSG)
Angaben zum Profiling sind nur erforderlich, wenn bei Verarbeitungen im Sinne
des Art. 28 Abs. 1 BayDSG im Anwendungsbereich der Richtlinie zum Daten-
schutz bei Polizei und Justiz ein Profiling erfolgt. Relevant kann dies für Behörden
der Polizei, Gerichte in Strafsachen und Staatsanwaltschaften, Strafvollstre-
ckungs- und Justizvollzugsbehörden sowie Behörden des Maßregelvollzugs sein,
soweit diese personenbezogene Daten zum Zwecke der Verhütung, Ermittlung,
Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten,
einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche
Sicherheit verarbeiten. Sonstige Behörden können nur betroffen sein, soweit diese
personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten
zu verfolgen oder zu ahnden.
„Profiling“ ist nach Art. 4 Abs. 4 DSGVO „jede Art der automatisierten Verarbeitung
personenbezogener Daten, die darin besteht, dass diese personenbezogenen
Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine
natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich
Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interes-
sen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürli-
chen Person zu analysieren oder vorherzusagen“.
Errichtungsanordnungen werden nach Art. 47 PAG bzw. zukünftig nach Art. 64
Abs. 1 PAG erstellt.
Zu Nr. 10 (Verantwortliche Organisationseinheit)
Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der
öffentlichen Stelle anzugeben, in der die Verarbeitungstätigkeit erfolgt. Beispiele:
„Personalreferat“ oder „Bauamt“.
Zu Nr. 11 (Datenschutz-Folgenabschätzung)
Die Angabe, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungstätig-
keit durchzuführen ist, geht über die Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten
- 54 -
Mindestangaben für die Beschreibung von Verarbeitungstätigkeiten hinaus. Sie
dient dem Nachweis, dass diese Frage in Abstimmung mit dem behördlichen Da-
tenschutzbeauftragten geprüft wurde.
Welches Risiko für die Rechte und Freiheiten natürlicher Personen von einer be-
absichtigten Verarbeitung personenbezogener Daten ausgeht und wie dieses Ri-
siko bewältigt werden kann, ist vor jeder Verarbeitung zu prüfen. Eine Daten-
schutz-Folgenabschätzung nach Art. 35 Abs. 1 Satz 1 DSGVO ist dagegen nur
durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung
neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwe-
cke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freihei-
ten natürlicher Personen zur Folge“ hat. Diese Voraussetzung wird nur bei weni-
gen Verarbeitungstätigkeiten vorliegen. Für Polizeibehörden richtet sich die Da-
tenschutz-Folgenabschätzung nach Art. 64 Abs. 2 PAG.
Die Datenschutz-Folgenabschätzung ist „vorab“, d.h. vor dem Einsatz einer Verar-
beitung durchzuführen. Für bereits laufende Verarbeitungen, die ohne wesentliche
Änderungen fortgeführt werden und die eine Datenschutz-Folgenabschätzung
erfordern, ist diese in einer Übergangsfrist spätestens bis zum 25. Mai 2021 nach-
zuholen.
Nr. 8 dieser Arbeitshilfe enthält weitere Hinweise zu den Voraussetzungen und der
Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
Zu Nr. 12 (Stellungnahme des behördlichen Datenschu tzbeauftragten)
Dem behördlichen Datenschutzbeauftragten ist vor dem erstmaligen Einsatz oder
einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem perso-
nenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben
(Art. 12 Abs. 1 Satz 1 Nr. 2 BayDSG). Eine Stellungnahme des behördlichen Da-
tenschutzbeauftragten ist nach Art. 24 Abs. 5 BayDSG auch vor dem Einsatz einer
Videoüberwachung einzuholen.
- 55 -
6. Die Informationspflichten des Ver-antwortlichen nach Art. 13 und 14 DSGVO
6.1 Allgemeines zu den Informationspflichten
Zur Erfüllung der Grundsätze einer fairen und transparenten Verarbeitung von
personenbezogenen Daten sehen Art. 13 und 14 DSGVO umfangreiche Informa-
tionspflichten bei der Erhebung personenbezogener Daten vor. In den Anlagen zu
diesem Teil der Arbeitshilfen finden sich Mustertexte bzw. Formulierungshilfen.
Wesentliche Angaben zur Erfüllung der Informationspflichten nach Art. 13 und 14
DSGVO decken sich mit den Angaben im Verzeichnis der Verarbeitungstätigkeiten
nach Art. 30 Abs. 1 DSGVO und können daher insoweit aus der jeweiligen
Beschreibung der Verarbeitungstätigkeit übernommen werden.
Nach Art. 12 Abs. 5 DSGVO sind Informationen gemäß den Artikeln 13 und 14
DSGVO grundsätzlich unentgeltlich zur Verfügung zu stellen.
Die nachfolgenden Ausführungen setzen voraus, dass die Regelungen der
DSDGVO und des BayDSG Anwendungen finden und im Fachrecht keine Son-
dervorschiften bestehen (wie z.B. in den §§ 32a, 32b und 32d der Abgabenord-
nung, den §§ 82 und 82a des SGB X und im Anwendungsbereich des Teil 3, Ka-
pitel 8 BayDSG (Art. 28 bis 37 BayDSG) bei der Verfolgung und Ahndung von
Ordnungswidrigkeiten).
6.2 In welchen Fällen besteht eine Informationspfli cht?
Der Verantwortliche ist zur Information der betroffenen Person verpflichtet, wenn
eine der folgenden drei Fallgruppen vorliegt:
� Personenbezogene Daten werden direkt bei der betroffenen Person erhoben
(Art. 13 DSGVO, vgl. dazu Mustertext 1) – dies ist der Standardfall.
� Personenbezogene Daten werden nicht bei der betroffenen Person erhoben
(also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DSG-
VO, vgl. dazu Mustertext 2).
� Der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen
anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen
- 56 -
Daten beim Betroffenen (Art. 13 Abs. 3 DSGVO, vgl. Nr. 11 in Mustertext 1)
erhoben wurden oder sonst erlangt wurden (Art. 14 Abs. 4 DSGVO, vgl.
Nr. 12 in Mustertext 2)
Für alle drei vorgenannten Fallgruppen wird folgendes Prüfschema empfohlen:
1. Liegt ein Fall von Art. 13 oder 14 DSGVO bzw. eine Zweckänderung vor?
2. Ist eine Ausnahme einschlägig (z.B. im Fachgesetz, in Art. 13 Abs. 4,
Art. 14 Abs. 5 DSGVO oder Art. 9 Abs. 1 BayDSG-E) oder wurde die be-
troffene Person bereits anderweitig informiert?
3. In welcher Form und mit welchem Inhalt ist die betroffene Person zu infor-
mieren? Dies ist nicht zuletzt von der Frage abhängig, wie die Erhebung der
Daten erfolgt (schriftlich, elektronisch, mündlich).
6.3 Wann muss die Information erfolgen (Art. 13 Abs . 1 und Abs. 3, Art. 14
Abs. 3 und Abs. 4 DSGVO)?
� Nach Art. 13 DSGVO sind grundlegende Angaben zum Zeitpunkt der Erhe-
bung mitzuteilen (Art. 13 Abs. 1 DSGVO) und weitere Informationen zur Ver-
fügung zu stellen (Art. 13 Abs. 2 DSGVO).
� Bei einer beabsichtigten Weiterverarbeitung von Daten, die bei der betroffe-
nen Person erhoben wurden, zu einem anderen Zweck als dem, der bei der
Erhebung zugrunde lag, ist die betroffene Person vor dieser Weiterverarbei-
tung zu informieren (Art. 13 Abs. 3 DSGVO).
� Die Informationen über eine Erhebung nicht bei der betroffenen Person nach
Art. 14 Abs. 1 und 2 DSGVO sind der betroffenen Person innerhalb einer an-
gemessenen Frist, spätestens jedoch innerhalb eines Monats mitzuteilen bzw.
zur Verfügung zu stellen (Art. 14 Abs. 3 Buchstabe a DSGVO). Falls die per-
sonenbezogenen Daten zur Kommunikation mit der betroffenen Person ver-
wendet werden sollen (etwa in einem Anschreiben), ist die Information spätes-
tens zum Zeitpunkt der ersten Mitteilung zu erteilen. Falls die Offenlegung an
einen anderen Empfänger beabsichtigt ist, ist die Information spätestens zum
Zeitpunkt der ersten Offenlegung zu erteilen (Art. 14 Abs. 3 Buchstabe b und
c DSGVO).
� Auch bei Daten, die nicht bei der betroffenen Person erhoben wurden, ist bei
einer beabsichtigten Weiterverarbeitung der Daten zu einem anderen Zweck
als dem, der bei der Erhebung zugrunde lag, die betroffene Person vor dieser
Weiterverarbeitung zu informieren (Art. 14 Abs. 4 DSGVO).
- 57 -
6.4 Informationspflicht bei einer Videoüberwachung
Eine besondere Regelung der Informationspflicht enthält Art. 24 Abs. 2 BayDSG
für die Videoüberwachung. Setzen bayerische öffentliche Stellen Videoüberwa-
chungsanlagen ein, so sind diese durch geeignete Maßnahmen erkennbar zu
machen (z.B. durch Hinweisschilder oder Piktogramme). Dabei ist der Verantwort-
liche anzugeben, wenn er nicht aus den Umständen hervorgeht (Art. 24 Abs. 2
BayDSG-E).
Eine Information der von der Videoüberwachung betroffenen Personen nach
Art. 13 DSGVO ist erst notwendig, wenn die Videoaufnahme einer bestimmten
Person zugeordnet wird und die Aufnahmen zu dieser bestimmten Person ge-
speichert werden.
6.5 1. Fallgruppe: Informationspflicht bei einer Er hebung bei der betroffe-
nen Person
Liegt ein Fall des Art. 13 DSGVO vor? 6.5.1
Damit die Informationspflichten nach Art. 13 DSGVO greifen, muss überhaupt
eine Erhebung von Daten vorliegen. Dies ist nicht der Fall, wenn der Verantwortli-
che die Daten nicht aktiv beschafft, sondern die Daten der öffentlichen Stelle
„aufgedrängt“ werden, d.h. von der betroffenen Person selbst oder von Dritten
ohne Aufforderung geliefert werden.
Beispiele für Datenerhebungen:
• Datenerhebung auf einer Internetseite, auf der eine betroffene Person
Informationen eingeben muss
• Datenerhebung mittels Formular, das die betroffene Person ausfüllt und an
die öffentliche Stelle sendet oder bei der jeweiligen Dienststelle abgibt
• Datenerhebung mittels E-Mail-Anfrage oder einem Telefonanruf
• Datenerhebung in einem persönlichen Gespräch
Beispiele für „aufgedrängte Daten“:
• eine Person wendet sich mit einer Anfrage an die Behörde
• eine Person zeigt einen Schwarzbau an
• ein Notruf geht über die allg. Notrufnummern ein
- 58 -
Liegt eine Erhebung vor, erfasst Art. 13 DSGVO nur die Erhebung bei der
betroffenen Person selbst. Werden die Daten nicht bei der betroffenen Person
selbst erhoben, sondern etwa von einer anderen öffentlichen Stelle auf Anfrage
übermittelt, ist Art. 14 DSGVO zu prüfen.
Besteht eine Ausnahme von der Informationspflicht 6.5.2
Ausnahmen von den Informationspflichten finden sich in Art. 13 Abs. 4 DSGVO
sowie in Art. 9 Abs. 1 BayDSG. Weitere Ausnahmen können sich aus
Fachgesetzen ergeben, z.B. aus der Abgabenordnung (AO).
Keine Informationspflicht, wenn und soweit die betr offene Person bereits
über die Informationen verfügt
Eine Information der betroffenen Person ist danach nicht erforderlich, wenn und
soweit die betroffene Person bereits über die Informationen verfügt (Art. 13 Abs. 4
DSGVO):
• In einem Verwaltungsverfahren ist es ausreichend, die betroffene Person
zu Beginn des Verfahrens – in der Regel bei Antragseinreichung – zu
informieren. Sollten sich im weiteren Verfahren Rückfragen ergeben, die zu
einer erneuten Datenerhebung bei der betroffenen Person führen, löst dies
in der Regel keine neue Informationspflicht aus.
• Eine Information der betroffenen Person ist nicht erforderlich, soweit sich
die Informationen eindeutig aus den Umständen der Erhebung ergeben.
So kann z.B. bei einer Fahrkartenkontrolle in öffentlichen Verkehrsmitteln
vorausgesetzt werden, dass die kontrollierte Person weiß, welcher
Verantwortliche für welchen Zweck die Daten auf den Fahrausweisen
erhebt.
• Auch bei wiederholten Erhebungen, die dem gleichen Zweck dienen, kann
in der Regel vorausgesetzt werden, dass die betroffene Person bereits
über die Information verfügt und eine Wiederholung der Information nicht
erforderlich ist, z.B. bei wiederholten Lebensmittelkontrollen im gleichen
Betrieb, bei wiederholten Hausbesuchen in der Jugend- und Familienhilfe
usw.
Einschränkung der Informationspflicht nach Art. 9 A bs. 1 BayDSG
- 59 -
Eine Information der betroffenen Person muss danach nicht erfolgen, soweit und
solange dies erforderlich ist
• zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren
für die öffentliche Sicherheit und Ordnung,
• zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur
Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen i.S. des.
§ 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln
oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur
Vollstreckung von Bußgeldbescheiden sowie
• zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer
anderen Person (Art. 9 Abs. 1 i.V.m. Art. 6 Abs. 2 Nr. 3 Buchstabe a, b, d
BayDSG).
Form und Inhalt der Information 6.5.3
Die Informationen sind nach Art. 12 DSGVO in präziser, transparenter,
verständlicher, leicht zugänglicher Form und in einer klaren und einfachen
Sprache zu erteilen. Bei Angeboten, die sich speziell an Kinder richten, ist eine für
Kinder verständliche Sprache zu verwenden. Die Information erfolgt schriftlich
oder in anderer Form, ggf. auch elektronisch.
Erhebungen im Internet
Bei der Erhebung mittels Eingabeformular auf einer Internetseite reicht es aus,
wenn auf der Erhebungsseite ein deutlich sichtbarer Link auf die Informationen
nach Art. 13 Abs. 1 und Abs. 2 DSGVO enthalten ist.
Erhebungen auf Papierformularen
a) Möglichkeit 1: Vollständige Information auf Papi er
Die betroffene Person kann über alle in Art. 13 Abs. 1 und Abs. 2 DSGVO
vorgeschriebenen Angaben auf dem jeweiligen Antrags- oder sonstigen
Erhebungsformular oder durch ein zusätzliches Hinweispapier informiert werden.
In diesem Fall sind die im beiliegenden Mustertext 1 enthaltenen Angaben
vollständig und auf das jeweilige Erhebungsformular angepasst abzudrucken.
Bereits bestehende Formulare für Datenerhebungen sind an die neuen
gesetzlichen Vorgaben anzupassen und zu ergänzen.
b) Möglichkeit 2: Aufteilung der Informationen in G rundinformationen und
weitergehende Informationen
- 60 -
Es ist allerdings nicht erforderlich, sämtliche Informationen nach Art. 13 Abs. 1 und
Abs. 2 DSGVO unmittelbar auf dem Formular abzudrucken. Die Informationen
können auch aufgeteilt werden:
• In Grundinformationen, die direkt auf dem Erhebungsformular stehen und
• weitergehende Informationen, die im Internet oder bei der erhebenden
Behörde erhältlich sind.
Grundinformationen
Zu den Grundinformationen, die auf dem Erhebungsformular mitzuteilen sind,
gehören bei einer Erhebung personenbezogener Daten zur Erfüllung öffentlicher
Aufgaben
• der Name und die Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1
Buchstabe a DSGVO)
• die Zwecke, für die die Daten erhoben werden sollen, sowie die
Rechtsgrundlage der Verarbeitung (Art. 13 Abs. 1 Buchstabe c DSGVO)
• die Kontaktdaten des behördlichen Datenschutzbeauftragten (Art. 13 Abs.
1 Buchstabe b DSGVO) und
• die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten (Art. 13 Abs. 1 Buchstabe e DSGVO).
Ergänzend ist auf dem Erhebungsformular anzugeben, wo weitergehende
Informationen erhältlich sind, z.B. auf einer konkret anzugebenden Internetseite
oder – etwa in Form eines Ausdrucks – beim zuständigen Sachbearbeiter der
Behörde. Auch bei Angabe einer Internetseite sollte für Personen, die keinen
Internetzugang haben, zusätzlich eine Stelle angegeben werden, wo die
Informationen in Papierform, bzw. auf Verlangen auch in mündlicher Form, zu
erhalten sind.
Beispiel für die Formulierung einer Grundinformation:
„Hinweise zum Datenschutz nach Art. 13 Datenschutz-Grundverordnung
(DSGVO)
Verantwortlich für die Verarbeitung dieser Daten ist … (Name, Postadresse E-
Mail-Anschrift und Telefonverbindung der verarbeitenden öffentlichen Stelle). Die
Daten werden erhoben, um …(Angabe des Verwendungszweck).
Rechtsgrundlage der Verarbeitung ist … (Angabe der Rechtsgrundlage).
Weitere Informationen über die Verarbeitung Ihrer Daten und Ihre Rechte bei der
Verarbeitung Ihrer Daten können Sie im Internet unter … (Angabe einer
- 61 -
Internetadresse) abrufen. Alternativ erhalten Sie diese Informationen auch von
Ihrem zuständigen Sachbearbeiter oder von unserem behördlichen
Datenschutzbeauftragten, den Sie unter … (Postadresse E-Mail-Anschrift und
Telefonverbindung des behördlichen Datenschutzbeauftragten) erreichen können.“
Bei landes- oder bundesweit einheitlichen Formularen ist es ausreichend, wenn
der Verantwortliche in allgemein verständlicher Form bezeichnet wird, z.B.
„Verantwortlich für die Verarbeitung dieser Daten ist Ihr zuständiges Landratsamt /
ihre zuständige Gemeindeverwaltung“ oder der Verantwortliche aus den
Umständen der Erhebung ersichtlich ist. (z.B. daran, von welcher Behörde das
Erhebungsformular zugesandt wurde bzw. an welche Behörde das ausgefüllte
Formular übersandt werden soll oder in welcher Behörde das Formular persönlich
abgeholt wurde). Gleiches gilt für den behördlichen Datenschutzbeauftragten.
Weitergehende Informationen
Ergänzend zu den Grundinformationen ist unter der angegebenen Internetadresse
ein auf das jeweilige Erhebungsformular bezogener vollständiger
Datenschutzhinweis bereitzustellen, der die vollständigen Angaben nach Art. 13
Abs. 1 und Abs. 2 DSGVO enthält. Der zuständige Sachbearbeiter oder der
behördliche Datenschutzbeauftragte können ggf. einen Ausdruck dieses
vollständigen Datenschutzhinweises aushändigen oder – auf Verlangen der
betroffenen Person – die weiteren Informationen mündlich geben.
Für jede Verarbeitungstätigkeit einer Behörde, die an ein Formular oder einen
Antrag anknüpft (z.B. Bauantrag, Beihilfeantrag, Kfz-Zulassungsantrag), sind
somit spezifische Informationen – etwa unter Verwendung von Mustertext 1 – auf
einer Website bereitzustellen. Im Ergebnis werden damit auf der Homepage einer
Behörde viele unterschiedliche Hinweise mit Information nach Art. 13 DSGVO zum
Abruf zur Verfügung zu stellen sein.
Die Informationspflicht bei mündlichen Datenerhebun gen
Auch bei mündlichen Datenerhebungen besteht die Informationspflicht nach
Art. 13 DSGVO. Es muss der betroffenen Person stets klar sein, wer der
Verantwortliche ist und für welchen Zweck die Daten erhoben werden. Sofern sich
dies nicht aus den Umständen ergibt oder der betroffenen Person nicht ohnehin
bekannt ist, ist dies mitzuteilen.
- 62 -
Auf Nachfrage der betroffenen Person sind die weiteren o.g. Grundinformationen
(insbesondere die Rechtsgrundlage der Verarbeitung und die Kontaktdaten des
behördlichen Datenschutzbeauftragten) mitzuteilen und anzugeben, wo ggf.
weitergehende Informationen zur Verfügung gestellt werden. Für häufig
auftretende Konstellationen wird zu empfehlen sein, ergänzende Hinweisblätter
zur Verfügung zu stellen.
6.6 2. Fallgruppe: Informationspflicht bei einer Er hebung nicht bei der be-
troffenen Person
Die Erhebung von Daten nicht bei der betroffenen Person kann aus allgemein
zugänglichen Quellen erfolgen (z.B. aus der Zeitung, dem öffentlich zugänglichen
Internet oder etwa durch Besichtigung der allgemein zugänglichen
Verkehrsflächen) oder bei öffentlichen oder nicht öffentlichen Dritten. Eine
Datenerhebung bei Dritten ist nach Art. 4 Abs. 2 Satz 2 BayDSG-E nur zulässig,
wenn
• die Datenerhebung bei Dritten durch Rechtsvorschrift vorgesehen oder
zwingend vorausgesetzt wird,
• die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine
solche Erhebung erforderlich macht und keine Anhaltspunkte bestehen,
dass überwiegende schutzwürdige Interessen der betroffenen Person
beeinträchtigt werden,
• die Erhebung bei der betroffenen Person einen unverhältnismäßigen
Aufwand erfordern würde oder keinen Erfolg verspricht, und keine
Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen der
betroffenen Person beeinträchtigt werden oder
• die Daten von einer anderen öffentlichen Stelle an die erhebende Stelle
übermittelt werden dürfen.
Prüfschema:
Liegt eine Erhebung nach Art. 14 DSGVO vor? 6.6.1
Keine Erhebung liegt vor, wenn der Verantwortliche die Daten nicht aktiv
beschafft, sondern die Daten der öffentlichen Stelle „aufgedrängt“ werden (s.o.).
Eine Erhebung von Daten i.S. des. Art. 14 DSGVO liegt auch vor, wenn Daten von
einer öffentlichen Stelle oder nicht öffentlichen Stelle auf Anfrage übermittelt
werden. Eine solche Datenübermittlung löst – jedenfalls soweit keine
- 63 -
Zweckänderung vorliegt – keine Informationspflicht bei der übermittelnden Stelle
aus, vielmehr liegt dann aus Sicht der anfragenden öffentlichen Stelle eine
Erhebung bei Dritten vor.
Ausnahmen von der Informationspflicht 6.6.2
Ausnahmen von den Informationspflichten enthalten Art. 14 Abs. 5 DSGVO sowie
Art. 9 BayDSG. Weitere Ausnahmen können sich aus Fachgesetzen ergeben, z.B.
aus der Abgabenordnung (AO).
Eine Information der betroffenen Person ist danach nicht erforderlich, wenn und
soweit die betroffene Person bereits über die Informationen verfügt (Art. 14. Abs. 5
Buchstabe a DSGVO, s.o.).
Eine Information der betroffenen Person kann auch unterbleiben, soweit und
solange dies erforderlich ist
• zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren
für die öffentliche Sicherheit und Ordnung,
• zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur
Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen i.S. des.
§ 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln
oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur
Vollstreckung von Bußgeldbescheiden sowie
• zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer
anderen Person
(Art. 9 Abs. 2 i.V.m. Art. 6 Abs. 2 Nr. 3 Buchstabe a, b, d BayDSG-E).
• wenn die Erteilung einer Information sich als unmöglich erweist oder einen
unverhältnismäßigen Aufwand erfordert, insbesondere bei Verarbeitungen
für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche
oder historische Forschungszwecke oder Statistikzwecke (Art. 14 Abs. 5
Buchstabe b DSGVO),
• wenn die Erlangung oder Offenlegung durch Rechtsvorschriften der Union
oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die
geeignete Maßnahmen zum Schutz der berechtigten Interessen vorsehen,
ausdrücklich geregelt ist oder
• wenn die personenbezogenen Daten einem Berufsgeheimnis unterliegen
und daher vertraulich behandelt werden müssen z.B. für Notare, Art. 14
Abs. 5 Buchstabe d DSGVO).
- 64 -
Form und Inhalt 6.6.3
Werden personenbezogene Daten nicht direkt bei der betroffenen Person
erhoben, weiß diese im Regelfall nicht von der Datenerhebung. Zur Information
der betroffenen Person wird daher in aller Regel eine aktive Kontaktaufnahme
erforderlich sein. Die notwendigen Informationen müssen nicht zwingend
schriftlich bereitgestellt werden, auch eine Information per E-Mail ist denkbar.
Auch hier ist es möglich, der betroffenen Person nur die Grundinformationen nach
Art. 14 Abs. 1 DSGVO mitzuteilen und darauf hinzuweisen, wo weitergehende
Informationen zur Verfügung gestellt werden (z.B. auf einer Internetseite, s.o.). Ein
Formulierungsvorschlag, der im Einzelfall um die konkreten Angaben zur
Verarbeitungstätigkeit zu ergänzen ist, findet sich in Mustertext 2.
6.7 3. Fallgruppe: Informationspflicht bei einer Zw eckänderung
Um eine faire und transparente Verarbeitung zu gewährleisten, muss die
betroffene Person separat informiert werden, wenn der Zweck, für den ihre Daten
verarbeitet werden sollen, nachträglich geändert werden soll.
Beabsichtigt der Verantwortliche, personenbezogene Daten für einen anderen
Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten
erhoben wurden, so hat er der betroffenen Person vor dieser Weiterverarbeitung
Informationen über den anderen Zweck und weitere maßgebliche Informationen
zur Verfügung zu stellen (Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO).
Generell liegt keine Zweckänderung vor, wenn Daten für die in Art. 6 Abs. 1
BayDSG angegebenen Zwecke der Aufsicht und Kontrolle, Erstellung von
Geschäftsstatistiken, Rechnungsprüfung, Prüfung oder Wartung automatisierter
Verfahren der Datenverarbeitung und zur Gewährleistung der Netz- und
Informationssicherheit sowie, soweit nicht offensichtlich überwiegende
schutzwürdige Interessen der betroffenen Person entgegenstehen, zu eigenen
Ausbildungs- und Prüfungszwecken verwendet werden.
Diese Zwecke werden bei einer Verarbeitung personenbezogener Daten durch
öffentliche Stellen als Ausfluss ihrer Funktion und organisationsrechtlichen
Grundstrukturen neben deren jeweiligen aufgabenbezogenen Hauptzweck
regelmäßig mitverfolgt und müssen nicht angegeben werden.
- 65 -
Bei der Fallgruppe „Zweckänderung“ sind verschiedene Konstellationen zu
unterscheiden:
Zweckänderung innerhalb der öffentlichen Stelle, d ie die Daten bei der 6.7.1
betroffenen Person erhoben hat
Art. 13 Abs. 3 DSGVO beschreibt den Fall, dass die Öffentliche Stelle, die die
Daten bei der betroffenen Person erhoben hat, diese Daten im Nachhinein
innerhalb derselben öffentliche Stelle (also im Zuständigkeitsbereich desselben
Verantwortlichen) auch für einen anderen Zweck verarbeiten will. Für welchen
Zweck Daten erhoben werden, ist aus dem Verzeichnis der
Verarbeitungstätigkeiten ersichtlich und bei der Erhebung anzugeben (z.B. auf
dem Erhebungsformular nach Art. 13 Abs. 1 Buchst. c DSGVO).
Mustertext 1 enthält unter Nr. 11 eine entsprechende Formulierungshilfe.
Die betroffene Person ist auf den beabsichtigten neuen Verarbeitungszweck
hinzuweisen und es sind ihr die Informationen nach Art. 13 Abs. 2 DSGVO zur
Verfügung zu stellen.
Zweckänderung innerhalb der öffentlichen Stelle, d ie Daten nicht bei 6.7.2
der betroffenen Person erhoben hat
Art. 14 Abs. 4 DSGVO betrifft dabei den Fall, dass eine öffentliche Stelle Daten
nicht bei der betroffenen Person erhoben hat und innerhalb derselben öffentliche
Stelle (also im Zuständigkeitsbereich desselben Verantwortlichen) diese Daten im
Nachhinein auch zu einem anderen Zweck verarbeitet werden sollen. Mustertext 2
enthält unter Nr. 12 eine entsprechende Formulierungshilfe.
Die betroffene Person ist auf den beabsichtigten neuen Verarbeitungszweck
hinzuweisen und es sind ihr die Informationen nach Art. 14 Abs. 2 DSGVO zur
Verfügung zu stellen.
Keine Informationspflicht bei Übermittlung von Dat en an eine andere 6.7.3
öffentliche Stelle auf deren Ersuchen
Keine Informationspflicht besteht jedenfalls bei der Übermittlung von Daten an
eine andere öffentliche Stelle auf deren Ersuchen, soweit damit keine Änderung
des Erhebungszwecks verbunden ist. Eine solche Datenübermittlung löst keine
- 66 -
erneute Informationspflicht bei der datenabgebenden Stelle aus, vielmehr liegt
dann aus Sicht des Datenempfängers – wenn kein Ausnahmetatbestand gegeben
ist – eine Erhebung bei Dritten vor. In diesem Fall hat also der Datenempfänger
entsprechend dem Mustertext 2 eine umfassende Information der betroffenen
Person sicherzustellen und dabei unter Nr. 5 „Angabe der Quelle“ darzulegen, von
welcher anderen Stelle die Daten übermittelt wurden.
- 67 -
6.8 Mustertext 1: Informationspflichten bei einer E rhebung von Daten bei
der betroffenen Person Art. 13 DSGVO
Linke Spalte: Textvorschlag Rechte Spalte: Ausfüllhinweise Sofern bei den Ausfüllhinweisen auf das Verarbeitungsverzeichnis Bezug genommen wird, ist Folgendes zu beachten: Es ist stets zu prüfen, ob die im Verarbeitungsverzeichnis zu dem „Oberbegriff“ der jeweiligen Verarbeitungstätigkeit enthaltenen Angaben hinsichtlich der konkreten Verarbeitung, für die das Informationsblatt verwendet werden soll, einschlägig sind. 1. Bezeichnung der Verarbeitungstätigkeit
Datenschutzhinweise im Zusammenhang mit … (Bauantrag, Beihilfeantrag usw.)
Entspricht der Bezeichnung der Verarbeitungstätigkeit in Nr. 1 des Verarbeitungsverzeichnisses.
2. Name und Kontaktdaten des Verantwortlichen
Verantwortlich für die Datenerhebung ist … Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer der öffentlichen Stelle .
Entspricht der Angabe des Verantwortlichen in Nr. 1 des Verarbeitungsverzeichnisses
3. Kontaktdaten des Datenschutzbeauftragten
Dienstliche Anschrift, E-Mail-Adresse und Telefonnummer des behördlichen Datenschutzbeauftragten.
Entspricht der Angabe in Nr. 1 des Verarbeitungsverzeichnisses - der Name des behördlichen Datenschutzbeauftragten muss hier nicht genannt werden Für den behördlichen Datenschutzbeauf-tragten wird die Einrichtung einer Funkti-ons-E-Mail-Adresse empfohlen.
4. Zwecke und Rechtsgrundlagen der Verarbeitung
4a) Zwecke der Verarbeitung: Ihre Daten werden dafür erhoben, um ... (Zwecke aufzählen, ggf. mit Spiegelstrichen).
Entspricht Nr. 2 im Verarbeitungsverzeichnis. Es empfiehlt sich, hier möglichst alle (auch vorhersehbare zukünftige Zwecke) mit anzuführen, um eine erneute Informationspflicht nach Art. 13 Abs. 3 DSGVO bei Zweckänderungen zu vermeiden. Die Zwecke müssen hinreichend bestimmt und eindeutig bezeichnet sein (Art. 5 Abs. 1 Buchst. b DSGVO). Die Zwecke, die in Art. 6 Abs. 1 BayDSG-E genannt werden, müssen hier nicht angegeben werden.
- 68 -
4b) Rechtsgrundlagen der Verarbeitung Ihre Daten werden auf Grundlage von Art. 6 Abs. 1 Buchstabe … DSGVO in Verbindung mit (ggf. spezifische Rechtsgrundlage nennen) verarbeitet.
Entspricht Nr. 2 im Verarbeitungsverzeichnis Soweit keine gesetzliche Regelung im bereichsspezifischen oder allgemeinen nationalen Datenschutzrecht besteht (wie etwa auch Art. 4 Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbestände nach Art. 6 – bei besonderen Kategorien personenbezogener Daten Art. 9 DSGVO in Verbindung mit Art. 8 BayDSG - in Betracht. Nach Art. 4 Abs.1 BayDSG-E ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Sind mehrere Rechtsgrundlagen einschlägig, so sollte der Verantwortliche alle nennen. Zu beachten ist, dass bereichsspezifische Rechtsgrundlagen dem BayDSG-E vorgehen (BayDSG als „Auffanggesetz, vgl. Art. 1 Abs. 5 BayDSG). Die Rechtsgrundlage zur Verarbeitung im berechtigten Interesse des Verantwortlichen (Art. 6 Abs. 1 Buchstabe f DSGVO) kommt für Behörden im Rahmen ihrer hoheitlichen Aufgaben nicht in Betracht (Art. 6 Abs. 1 Unterabsatz 2 DSGVO).
5. Empfänger oder Kategorien von Empfängern der per sonenbezogenen
Daten
Ihre personenbezogenen Daten werden weitergegeben an: - … (Empfänger innerhalb der Behörde/ Kommune) - … (Auftragsverarbeiter) - … (Dritte) , um …
Entspricht Nr. 5 im Verarbeitungsverzeichnis Diese Angabe ist nur zu machen, wenn auch Personen außerhalb der erhebenden Organisationseinheit die personenbezogenen Daten erhalten sollen. Als Empfänger gelten: - andere Organisationseinheiten mit ande-ren Aufgaben innerhalb der öffentlichen Stelle, - Auftragsverarbeiter, - Dritte außerhalb der öffentlichen Stelle. Es empfiehlt sich eine kurze Erläuterung, warum die Daten den Empfängern offengelegt werden. Evtl. ist darauf auch schon bei Ziffer 4 einzugehen (Zwecke und Rechtsgrundlagen).
- 69 -
6. Übermittlung von personenbezogenen Daten an ein Drittland
Es ist geplant, Ihre personenbezogenen Daten an … ( ein Drittland/eine internationale Organisation ) zu übermitteln. Textvorschlag bei vorliegendem Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission hat am … beschlossen, dass die personenbezogenen Daten in … genauso geschützt sind wie in der Europäischen Union.
Entspricht Nr. 6 im Verarbeitungsverzeichnis Drittländer sind Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Bei einer Datenübermittlung in Drittländer sind die Zulässigkeitsvoraussetzungen des Kapitel V, Art. 44 bis 50 der DSGVO zu beachten. Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO sind auf der Website der EU-Kommission abrufbar (unter http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm). Eine zulässige Veröffentlichung personenbezogener Daten im Internet ist keine Übermittlung von personenbezogenen Daten an ein Drittland in diesem Sinne.
7. Dauer der Speicherung der personenbezogenen Dat en
Ihre Daten werden nach der Erhebung … (für 1 Jahr, längstens … Jahre, bis zur Volljährigkeit usw .) gespeichert. Alternative, falls keine Fristen benennbar sind: Ihre Daten werden nach der Erhebung bei der Name der Behörde/ /Kommune so lange gespeichert, wie dies unter Beachtung der gesetzlichen Aufbewahrungsfristen gemäß ( Angabe der Vorschriften ) für die jeweilige Aufgabenerfüllung ( hier möglichst genaue Umschreibung der zu erfüllenden Aufgabe/n, ggf. auch hinsichtlich Dokumentationspflichten ) erforderlich ist.
Entspricht Nr.7 im Verarbeitungsverzeichnis Anzugeben ist regelmäßig der Zeitpunkt, zu dem die Daten zur Erfüllung des Fachrechts einschließlich evtl. bestehender Dokumentations- oder Aufbewahrungspflichten nicht mehr erforderlich sind. Nicht ausreichend wäre eine Speicherdauer nur bis zum Abschluss des konkreten „Arbeitsschrittes“, beispielsweise der Erteilung der Baugenehmigung. Die Erfüllung von Dokumentationspflichten ist regelmäßig Teil der Aufgabenerfüllung. Behörden und öffentliche Stellen haben daneben die Grundsätze der ordnungsgemäßen Aktenführung insbesondere der Aktenvollständigkeit zu berücksichtigen. Wenn für die Speicherdauer im konkreten Fall allgemein bekannte, gesetzliche Vorgaben bestehen, kann auf diese verwiesen werden. Hier sind möglichst genaue Angaben zu machen. Nur im Ausnahmefall sollte die allgemeine
- 70 -
Formulierung (Alternative) verwendet werden. Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem staatlichen Archiv anzubieten, darf eine Löschung erst erfolgen, nachdem die Unterlagen einem Archiv angeboten wurden (Art. 26 Abs. 6 BayDSG).
8. Betroffenenrechte
Nach der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu: Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO). Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO). Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO). Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die öffentliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind. Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz.
Bei einzelnen Verarbeitungstätigkeiten können sich Einschränkungen der genannten Rechte ergeben. Schließen fachgesetzliche Vorschriften die in der linken Spalte genannten Rechte der betroffenen Person aus, sind die Formulierungen entsprechend anzupassen. Beispiel: kein Recht auf Berichtigung gem. Art. 16 DSGVO bei Verarbeitungen zu Archivzwecken (vgl. Art. 26 Abs. 4 Satz 1 BayDSG-E). Aufsichtsbehörde für bayerische öffentliche Stellen ist der Bayerische Landesbeauftragte für den Datenschutz (im Detail vgl. Art. 15 Abs. 1BayDSG-E), sofern bereichsspezifisch nichts anderes bestimmt ist (vgl. etwa § 32h AO-neu).
- 71 -
9. Widerrufsrecht bei Einwilligung
Wenn Sie in die Verarbeitung durch die … (Name der öffentlichen Stelle) durch eine entsprechende Erklärung eingewilligt haben, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
Diese Information ist nur zu erteilen, wenn die Verarbeitung auf einer Einwilligung der betroffenen Person beruht (Art. 6 Abs.1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO).
10. Pflicht zur Bereitstellung der Daten
Sie sind dazu verpflichtet, Ihre Daten anzugeben. Diese Verpflichtung ergibt sich aus … ( Gesetz, Vertrag ). Die … (Name der öffentlichen Stelle) benötigt Ihre Daten, um … (z.B. Ihren Antrag auf … zu bearbeiten, den Vertrag mit Ihnen abschließen zu können ). Wenn Sie die erforderlichen Daten nicht angeben, ... - kann Ihr Antrag nicht bearbeitet werden, - kann der Vertrag mit Ihnen nicht abgeschlossen werden, - kann nach Art. … ein Bußgeld verhängt werden, - können folgende Maßnahmen ergriffen werden … (usw.)
Diese Information ist nur zu geben, wenn die betroffene Person dazu verpflichtet ist, die personenbezogenen Daten anzugeben. Die Verpflichtung kann sich aus Gesetz oder Vertrag ergeben oder für einen Vertragsabschluss erforderlich sein. Bitte verpflichtende Rechtsgrundlage einfügen und zutreffende Folgen bei Nichtangabe ergänzen.
11. Sonderfall: Informationspflicht für den Fall e iner späteren
Zweckänderung
In diesem Fall ist der Text bei vorstehender Nr. 4a durch folgenden Text zu ersetzen. Im Übrigen sind mindestens die Informationen nach Art. 13 Abs. 2 DSGVO im Hinblick auf den geänderten Zweck mitzuteilen: Die Name der öffentliche Stelle hat personenbezogene Daten von Ihnen erhoben, um … ( ursprüngliche Zwecke nennen ). Die Name der öffentliche Stelle beabsichtigt nun, diese Daten zu verarbeiten, um … (neue Zwecke
Diese Information muss vor der beabsichtigten Weiterverarbeitung erfolgen. Der Zweck einer Verarbeitung ergibt sich regelmäßig aus den Angaben im Verarbeitungsverzeichnis und aus dem Erhebungsformular. Diese Informationspflicht gilt für Fälle, in denen die öffentliche Stelle die Daten im Nachhinein für einen anderen Zweck weiterverarbeiten will, als bei der Erhebung angegeben wurde. Sie besteht nicht, wenn
- 72 -
nennen).
die Daten für den gleichen Zweck, der bei der Erhebung angegeben wurde an Dritte übermittelt werden. Wenn die Daten an einen Dritten bzw. einen anderen Verantwortlichen auf dessen Anfrage übermittelt werden ist ggf. der Empfänger informationspflichtig.
- 73 -
6.9 Mustertext 2: Informationspflichten bei einer Erheb ung von Daten nicht
bei der betroffenen Person, Art. 14 DSGVO
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, sondern z.B. bei Dritten, sind der betroffenen Person die im Folgenden aufgezählten Informationen zu geben. Linke Spalte: Textvorschlag Rechte Spalte: Ausfüllhinweise 1. Anlass der Erhebung
Wir haben Daten von Ihnen im Zuge des (Bezeichnung des Verfahrens, z.B. Bauantrag, Beihilfeantrag) erhoben.
Die Bezeichnung sollte allgemeinverständlich sein und den jeweiligen Zweck erkennen lassen.
2. Name und Kontaktdaten des Verantwortlichen
Siehe Nr. 2 in Mustertext 1
3. Kontaktdaten des Datenschutzbeauftragten
Siehe Nr. 3 in Mustertext 1
4. Zwecke und Rechtsgrundlagen der Datenverarbeitu ng
Siehe Nr. 4a und 4b in Mustertext 1
5. Quelle der Daten
Ihre Daten haben wir bei … erhoben .
Anzugeben ist die Quelle, aus der die Da-ten stammen, ggf. auch, ob sie aus öffent-lich zugänglichen Quellen stammen.
6. Kategorien der personenbezogenen Daten, die ver arbeitet werden
Die öffentliche Stelle verarbeitet folgen-de personenbezogene Daten von Ihnen: - ... - ... - ...
Entspricht Nr. 3 im Verarbeitungsverzeich-nis Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vorname“, „Anschrift“, „Staatsangehörig-keit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich.
- 74 -
7. Empfänger oder Kategorien von Empfängern der pe rsonenbezogenen Daten
Siehe Nr. 5 in Mustertext 1
8. Übermittlung von personenbezogenen Daten an ein Drittland
Siehe Nr. 6 in Mustertext 1
9. Dauer der Speicherung der personenbezogenen Dat en
Siehe Nr. 7 in Mustertext 1
10. . Betroffenenrechte
Siehe Nr. 8 in Mustertext 1
11. Widerrufsrecht bei Einwilligung
Siehe Nr. 9 in Mustertext 1
12. Sonderfall: Informationspflichten für den Fall einer späteren
Zweckänderung
Die …(Name der öffentliche Stelle) hat bei … (Name des Dritten, bei dem ursprünglich die Daten erhoben wurden ) personenbezogene Daten von Ihnen erhoben, um … ( ursprüngliche Zwecke nennen ). Die … (Name der öffentliche Stelle) beabsichtigt nun, diese Daten zu verarbeiten, um … ( neue Zwecke nennen ).
In diesem Fall ist der Text bei vorstehender Nr. 4a durch folgenden Text zu ersetzen. . Im Übrigen sind mindestens die Informationen nach Art. 14 Abs. 2 DSGVO im Hinblick auf den geänderten Zweck mitzuteilen. Diese Information muss vor der beabsichtigten Weiterverarbeitung erfolgen. Diese Informationspflicht gilt für Fälle, in denen die öffentliche Stelle die Daten im Nachhinein innerhalb derselben öffentlichen Stelle (also im Zuständigkeitsbereich desselben Verantwortlichen) für einen anderen Zweck weiterverarbeiten will, als der Erhebung zugrunde lag. Diese Informationspflicht besteht nicht, wenn die Daten für den gleichen Zweck an Dritte übermittelt werden. Wenn die Daten auf Anfrage an einen Dritten bzw. einen anderen Verantwortlichen übermittelt werden ist ggf. der Empfänger informationspflichtig.
- 75 -
7. Auftragsverarbeitung
(Wird ergänzt)
- 76 -
8. Datenschutz-Folgenabschätzung und Risikobewertung nach der DSGVO
Nach Art. 35 und 36 DSGVO ist für Formen der Verarbeitung, die „insbesondere
bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Um-
stände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen zur Folge“ haben, vorab eine Daten-
schutz-Folgenabschätzung durchzuführen. Ergänzende Regelungen hierzu trifft
Art. 14 BayDSG.
Voraussetzungen und Durchführung dieser Datenschutz-Folgenabschätzung
unterscheiden sich erheblich von der bisherigen datenschutzrechtlichen Frei-
gabe nach Art. 26 BayDSG. Insbesondere ist nicht für jedes bisher freigabe-
pflichtige Verfahren künftig eine Datenschutz-Folgenabschätzung durchzufüh-
ren.
Für bereits laufende Verarbeitungen, die ohne wesentliche Änderungen fortgeführt
werden und die eine Datenschutz-Folgenabschätzung erfordern, ist diese in einer
Übergangsfrist spätestens bis zum 25. Mai 2021 nachzuholen. In diesen Fällen ist
jedoch in der jeweiligen Beschreibung der Verarbeitungstätigkeiten zumindest
anzugeben, ob von einer Form der Verarbeitung möglicherweise ein hohes Risiko
für die Betroffenen ausgeht. Zum Begriff des „datenschutzrechtlichen Risikos“ ent-
halten die Nummern 84 bis 92 der DSGVO-Erwägungsgründe nähere Ausführun-
gen.
Der Landesbeauftragte für den Datenschutz wird eine – nicht abschließende –
Liste von Verarbeitungen veröffentlichen, für die eine Datenschutz-
Folgenabschätzung durchzuführen ist.
Die DSGVO beschreibt die Voraussetzung und das Verfahren der Datenschutz-
Folgenabschätzung nur allgemein. Etablierte Praxismodelle für deren Durchfüh-
rung fehlen bislang. Die Arbeitshilfe wird deshalb zu gegebener Zeit ergänzt.
- 77 -
9. Muster einer Zweckvereinbarung für einen gemeinsamen behördlichen Datenschutzbeauftragten
(Wird ergänzt)
- 78 -
10. Mitwirkende
Diese Arbeitshilfen wurden vom Staatsministerium des Innern, für Bau und Ver-
kehr unter Beteiligung des Bayerischen Landesbeauftragten für den Datenschutz
erstellt. An der Erstellung der Arbeitshilfen waren im Rahmen einer Arbeitsgruppe
auch Vertreter des Staatsministeriums der Finanzen, für Landesentwicklung und
Heimat, der kommunalen Spitzenverbände und der kommunalen Praxis maßgeb-
lich beteiligt, denen wir an dieser Stelle für ihre konstruktive Mitarbeit ausdrücklich
danken:
Frau Gudrun Aschenbrenner, Anstalt für Kommunale Datenverarbeitung in Bay-
ern;
Herr Bernd Bauer-Banzhaf, Stadt Bamberg;
Herr Dr. Stephan Bobe, Staatsministerium der Finanzen, für Landesentwicklung
und Heimat;
Herr Jochen Dann, Stadt Aschaffenburg;
Frau Anna Distler, Landeshauptstadt München;
Frau Daniela Duda, Vorsitzende des ERFA-Kreis Bayern der GDD e.V.;
Herr Joachim Fackler, Staatsministerium der Finanzen, für Landesentwicklung und
Heimat;
Frau Brigitte Frey, Landeshauptstadt München;
Herr Klaus Geiger, Bayerischer Landkreistag;
Frau Irmgard Gihl, Bayerischer Bezirketag;
Frau Annette Holl, Staatsministerium der Finanzen, für Landesentwicklung und
Heimat;
Herr Christian Hummel, Bezirk Oberpfalz;
Frau Marie Jungnickl, Stadt Nürnberg;
Herr Anton Knoblauch, Staatsministerium des Innern, für Bau und Verkehr;
Herr Thomas Koeckerbauer, Stadt Regensburg;
Herr Thomas Kraft, Stadt Fürth;
Herr Alexander Lutz, Staatsministerium der Finanzen, für Landesentwicklung und
Heimat;
Herr Dr. Marc Maisch, Lehrbeauftragter an der Hochschule für den öffentlichen
Dienst in Bayern;
Frau Elisabeth Mayer, Landkreis Regensburg;
- 79 -
Herr Bernd Mikolai, Stadt Ansbach;
Frau Korinna Pöppl, Anstalt für Kommunale Datenverarbeitung in Bayern;
Frau Helga Richter, Stadt Würzburg;
Herr Robert Santl, Staatsministerium des Innern, für Bau und Verkehr;
Herr Jens Schmidt, Landratsamt Nürnberger Land;
Herr Winfried Schober, Bayerischer Gemeindetag;
Herr Roland Schulze, Stadt Kempten;
Herr Alexander Seidl, Hochschule für den öffentlichen Dienst in Bayern;
Herr Richard Stelzer, Bayerischer Städtetag;
Herr Dr. Matthias Stief, Landesbeauftragter für den Datenschutz;
Herr Michael Will, Staatsministerium des Innern, für Bau und Verkehr;
Frau Karin Wölfl, Staatsministerium des Innern, für Bau und Verkehr.
